Scénario #8803
evolution amon 2.4 bypassproxy reseau
100%
Description
Bonjour,
Auparavant sur nos modules 2.2 nous avions patché l'amon afin de pouvoir bypasser le proxy
pour des réseaux ou des nom de domaine.
principe du dico:
reseau source : interface source --> port de destinataion : ( network/netmask ou Nom DNS ) destination
Sur le module 2.4 nous ne pouvons spécifier qu'une IP de destination à bypasser
Serait il possible d'ajouter cette fonctionnalité sur l'amon 2.4
Merci d'avance
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Emmanuel GARETTE il y a plus de 9 ans
- Statut changé de Nouveau à En attente d'informations
- Priorité changé de Haut à Normal
Si je comprends bien la proposition, il faudrait passer les variables era_proxy_bypass_ethX du type "ip" à "domain" (ce type autorise les noms de domaine et les IP). C'est bien cela ?
Avez-vous fait des tests dans ce sens pour voir si cela fonctionnait comme voulu ?
#2 Mis à jour par arnaud bougeard il y a plus de 9 ans
oui type type vers reseau (ip/netmask) et nom de domane
voici le /sbin/lance.firewall obtenu sur un 2.2:
cat /tmp/lance.firewall#!/bin/sh
- inclusion statique a partir du fichier 'backend/data/static_rules.sh'
- Reinitialisation des chaines
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
- on vide les regles utilisateurs
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
- mise en place de la politique par defaut
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
- Chargement des modules
- Charger le module NAT
modprobe iptable_nat
- Charger le module TIME
modprobe ipt_time
- activer l'anti-spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
- Activer le passage IP
echo 1 > /proc/sys/net/ipv4/ip_forward
- inserer le module ftp
modprobe ip_nat_ftp
- Insere les modules de suivie de connexion
modprobe ip_conntrack
modprobe ip_conntrack_ftp
- inserer le module tftp
modprobe ip_nat_tftp
#-------------------------------------------------------------------------------------------
- loopback
- traffic illimite autorise sur l'interface locale
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
#----------------------------------------------------------------------------------------
- creation de la chaine icmp accept
/sbin/iptables -N icmp-acc - creation de la chaine marquage
/sbin/iptables -t mangle -N marquage - definition de la chaine icmp-acc
/sbin/iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
/sbin/iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
/sbin/iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
/sbin/iptables -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
- Creation chaine netbios-ext
/sbin/iptables -t filter -N netbios-ext
/sbin/iptables -t filter -A netbios-ext -p tcp --dport 135 -j DROP
/sbin/iptables -t filter -A netbios-ext -p udp --dport 135 -j DROP
/sbin/iptables -t filter -A netbios-ext -p tcp --dport 137:139 -j DROP
/sbin/iptables -t filter -A netbios-ext -p udp --dport 137:139 -j DROP
/sbin/iptables -t filter -A netbios-ext -p tcp --dport 445 -j DROP
/sbin/iptables -t filter -A netbios-ext -p udp --dport 445 -j DROP
- Creation chaine bypass
/sbin/iptables -t nat -A PREROUTING -i eth1 -s 10.78.29.0/255.255.255.0 -p tcp --dport 443 -j BYPASS
/sbin/iptables -t nat -A PREROUTING -i eth1 -s 10.78.29.0/255.255.255.0 -p tcp --dport 80 -j BYPASS
- Fin de l'inclusion statique a partir du fichier 'backend/data/static_rules.sh'
- Creation des chaines zone-zone
/sbin/iptables -t filter -N ext-ext
/sbin/iptables -t filter -N ext-dmz
/sbin/iptables -t filter -N ext-ped
/sbin/iptables -t filter -N ext-adm
/sbin/iptables -t filter -N ext-bas
/sbin/iptables -t filter -N dmz-ext
/sbin/iptables -t filter -N dmz-dmz
/sbin/iptables -t filter -N dmz-ped
/sbin/iptables -t filter -N dmz-adm
/sbin/iptables -t filter -N dmz-bas
/sbin/iptables -t filter -N ped-ext
/sbin/iptables -t filter -N ped-dmz
/sbin/iptables -t filter -N ped-ped
/sbin/iptables -t filter -N ped-adm
/sbin/iptables -t filter -N ped-bas
/sbin/iptables -t filter -N adm-ext
/sbin/iptables -t filter -N adm-dmz
/sbin/iptables -t filter -N adm-ped
/sbin/iptables -t filter -N adm-adm
/sbin/iptables -t filter -N adm-bas
/sbin/iptables -t filter -N bas-ext
/sbin/iptables -t filter -N bas-dmz
/sbin/iptables -t filter -N bas-ped
/sbin/iptables -t filter -N bas-adm
/sbin/iptables -t filter -N bas-bas
/sbin/iptables -t filter -A ext-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ext-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ext-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A dmz-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ped-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ped-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ped-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A ped-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A adm-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A adm-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A adm-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A bas-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A bas-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A bas-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A bas-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p icmp -i eth0 -j icmp-acc
/sbin/iptables -t filter -A INPUT -p icmp -i eth0.30 -j icmp-acc
/sbin/iptables -t filter -A INPUT -p icmp -i eth2 -j icmp-acc
/sbin/iptables -t filter -A INPUT -p icmp -i eth1 -j icmp-acc
/sbin/iptables -t filter -A FORWARD -o eth0 -j netbios-ext
- Regles montantes entre <zone:exterieur> et <zone:bastion>
- administration Amon exterieure
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT
- administration Amon exterieure
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT
- pas de description
/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 0/0 -d 172.17.241.146 -j ACCEPT
- Regles descendantes entre <zone:exterieur> et <zone:bastion>
- Regles montantes entre <zone:exterieur> et <zone:dmz>
- Regles descendantes entre <zone:exterieur> et <zone:dmz>
- Regles montantes entre <zone:bastion> et <zone:dmz>
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 172.24.0.0/255.248.0.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 10.78.0.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 10.178.0.0/255.255.0.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.191.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.192.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.195.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT
/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.214.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT
- Regles descendantes entre <zone:bastion> et <zone:dmz>
- Regles montantes entre <zone:exterieur> et <zone:pedago>
- Regles descendantes entre <zone:exterieur> et <zone:pedago>
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/255.255.255.0 -d 0/0 -j SNAT --to-source 172.17.241.146- pedago -> exterieur : interdire les protocoles de news, forums ... : INACTIVE
- Interdire les connexions FTP : INACTIVE
- pedago -> exterieur : interdire les protocoles de discussion en ligne (irc ...) : INACTIVE
- pedago -> exterieur : interdire les protocoles de messagerie (pop, imap ...) : INACTIVE
- pedago -> exterieur : tout interdire (sauf le web via le proxy) : INACTIVE
/sbin/iptables -t filter -A ped-bas -i eth2 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t filter -A ped-ext -i eth2 -o eth0 -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
- Regles montantes entre <zone:dmz> et <zone:pedago>
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 172.24.0.0/255.248.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 10.78.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 10.178.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.191.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.192.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.195.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.214.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
- Regles descendantes entre <zone:dmz> et <zone:pedago>
- Regles montantes entre <zone:bastion> et <zone:pedago>
- Autoriser l'administration d'Amon depuis le reseau pedagogique
/sbin/iptables -t filter -A ped-bas -m state --state NEW -p udp --dport 53 -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
/sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
/sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT - Autoriser les connexions au port 4129 (NuAuth) depuis pedago : INACTIVE
/sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
/sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
- Autoriser l'administration d'Amon depuis le reseau pedagogique
- Regles descendantes entre <zone:bastion> et <zone:pedago>
- Regles montantes entre <zone:exterieur> et <zone:admin>
- Regles descendantes entre <zone:exterieur> et <zone:admin>
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 10.78.29.0/255.255.255.0 -d 0/0 -j SNAT --to-source 172.17.241.146
/sbin/iptables -t filter -A adm-bas -i eth1 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
/sbin/iptables -t filter -A adm-ext -i eth1 -o eth0 -s 10.78.29.0/255.255.255.0 -d 0/0 -j ACCEPT - Regles montantes entre <zone:dmz> et <zone:admin>
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 172.24.0.0/255.248.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 10.78.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 10.178.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.191.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.192.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.195.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.214.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
- Regles descendantes entre <zone:dmz> et <zone:admin>
- Regles montantes entre <zone:pedago> et <zone:admin>
- Regles descendantes entre <zone:pedago> et <zone:admin>
- Regles montantes entre <zone:bastion> et <zone:admin>
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p udp --dport 53 -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
- Autoriser les connexions au port 4129 (NuAuth) depuis admin : INACTIVE
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
- Regles descendantes entre <zone:bastion> et <zone:admin>
- logger le reste
/sbin/iptables -A ext-bas -m limit --limit 120/min -i eth0 -j ULOG --ulog-prefix "tentative connexion de : "
- Paquets contenant la zone exterieur
/sbin/iptables -t filter -A ext-bas -i eth0 -s 0/0 -d 0/0 -j DROP - Paquets contenant la zone dmz
/sbin/iptables -t filter -A dmz-ext -i eth0.30 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A ext-dmz -i eth0 -o eth0.30 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A dmz-bas -i eth0.30 -s 0/0 -d 0/0 -j DROP - Paquets contenant la zone pedago
/sbin/iptables -t filter -A ped-ext -i eth2 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A ext-ped -i eth0 -o eth2 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A ped-dmz -i eth2 -o eth0.30 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A dmz-ped -i eth0.30 -o eth2 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A ped-bas -i eth2 -s 0/0 -d 0/0 -j DROP - Paquets contenant la zone admin
/sbin/iptables -t filter -A adm-ext -i eth1 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A ext-adm -i eth0 -o eth1 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A adm-dmz -i eth1 -o eth0.30 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A dmz-adm -i eth0.30 -o eth1 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A adm-ped -i eth1 -o eth2 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A ped-adm -i eth2 -o eth1 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A adm-bas -i eth1 -s 0/0 -d 0/0 -j DROP
- Renvoi vers nos chaines pour le INPUT
/sbin/iptables -t filter -A INPUT -i eth0 -j ext-bas
/sbin/iptables -t filter -A INPUT -i eth0.30 -j dmz-bas
/sbin/iptables -t filter -A INPUT -i eth2 -j ped-bas
/sbin/iptables -t filter -A INPUT -i eth1 -j adm-bas - Renvoi vers nos chaines pour le FORWARD
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth0 -j ext-ext
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth0.30 -j ext-dmz
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth2 -j ext-ped
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -j ext-adm
/sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth0 -j dmz-ext
/sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth0.30 -j dmz-dmz
/sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth2 -j dmz-ped
/sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth1 -j dmz-adm
/sbin/iptables -t filter -A FORWARD -i eth2 -o eth0 -j ped-ext
/sbin/iptables -t filter -A FORWARD -i eth2 -o eth0.30 -j ped-dmz
/sbin/iptables -t filter -A FORWARD -i eth2 -o eth2 -j ped-ped
/sbin/iptables -t filter -A FORWARD -i eth2 -o eth1 -j ped-adm
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -j adm-ext
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0.30 -j adm-dmz
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth2 -j adm-ped
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth1 -j adm-adm- inclusion statique a partir du fichier 'backend/data/end_static_rules.sh'
/sbin/iptables -t nat -A BYPASS -d 10.0.0.0/255.0.0.0 -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d 172.24.0.0/255.248.0.0 -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d 192.168.0.0/255.255.0.0 -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d 161.48.0.0/255.255.224.0 -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d eu-meterservices.neopost.com -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d fr-meterservices.neopost.com -j ACCEPT
/sbin/iptables -t nat -A BYPASS -d bv.ac-versailles.fr -j ACCEPT
- inclusion statique a partir du fichier 'backend/data/end_static_rules.sh'
#------------------------------------------------------------------------------
- Prise en compte de la chaine "marquage"
iptables -t mangle -I INPUT -j marquage
iptables -t mangle -I FORWARD -j marquage
iptables -t mangle -I OUTPUT -j marquage
- Fin de l'inclusion statique a partir du fichier 'backend/data/end_static_rules.sh'
/sbin/iptables nL |grep "nuit" 2>&1 >/dev/null
if [ $? == "0" ]
then
/sbin/iptables -F nuit-input
/sbin/iptables -F nuit-forward
/sbin/iptables -D FORWARD -j nuit-forward
/sbin/iptables -D INPUT -j nuit-input
/sbin/iptables -X nuit-forward
/sbin/iptables -X nuit-input
fi
/sbin/iptables -N nuit-input
/sbin/iptables -N nuit-forward
/sbin/iptables -t filter -A nuit-input -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A nuit-forward -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -i eth0 -j DROP
/sbin/iptables -A nuit-forward -i eth0 -j DROP
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -i eth1 -j DROP
/sbin/iptables -A nuit-forward -i eth1 -j DROP
/sbin/iptables -A nuit-input -i eth2 -j DROP
/sbin/iptables -A nuit-forward -i eth2 -j DROP
#3 Mis à jour par arnaud bougeard il y a plus de 9 ans
- Statut changé de En attente d'informations à Nouveau
#4 Mis à jour par arnaud bougeard il y a plus de 9 ans
serait il possible de lier ces variables era_bypass_proxy aux variables exclusion de proxy dans l'onglet wpad ?
#5 Mis à jour par Emmanuel GARETTE il y a plus de 9 ans
Voire aussi au noauth de squid (comme décrit dans #6950).
#6 Mis à jour par arnaud bougeard il y a plus de 9 ans
Bonjour,
nous avons besoin de cette fonctionnalité avant de lancer le deploiement des 2.4.
serait il possible d'ajouter cette possiblité d'élagir à un réseau la variable %%era_proxy_bypass_eth1 rapidement ?
#7 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Tracker changé de Evolution à Scénario
- Début
09/09/2014supprimé - Release mis à Mises à jour 2.4.1
Evaluer la charge de réalisation de cette demande
#8 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Version cible mis à sprint 2014 48-49
#9 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Echéance mis à 05/12/2014
- Début mis à 24/11/2014
- Points de scénarios mis à 2.0
#10 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Statut changé de Nouveau à Terminé (Sprint)
#11 Mis à jour par arnaud bougeard il y a plus de 9 ans
apres test, la solution ne semble pas convenir.
en effet, ipset génère des listes trop longues (nous avons des reseaux bypassés trop larges racine+agriate)
et cette erreur au rédémarrage du bastion:
"ipset v6.11: Hash is full, cannot add more elements"
#12 Mis à jour par Joël Cuissinat il y a plus de 9 ans
arnaud bougeard a écrit :
apres test, la solution ne semble pas convenir.
en effet, ipset génère des listes trop longues (nous avons des reseaux bypassés trop larges racine+agriate)
et cette erreur au rédémarrage du bastion:"ipset v6.11: Hash is full, cannot add more elements"
Je crois que Fabrice vient de corriger ce problème : #10047
NB : il faut éviter d'ajouter des commentaires dans des demandes déjà fermées car nous risquons de passer à côté ;)