Era24 » Historique » Version 12
Gwenael Remond, 28/01/2013 16:12
| 1 | 1 | Gwenael Remond | h1. Era24 |
|---|---|---|---|
| 2 | 1 | Gwenael Remond | |
| 3 | 1 | Gwenael Remond | h2. Décoreller le backend du frontend |
| 4 | 1 | Gwenael Remond | |
| 5 | 9 | Gwenael Remond | * commencer par faire le bilan des types de règles générés par Era |
| 6 | 4 | Gwenael Remond | |
| 7 | 4 | Gwenael Remond | h2. bilan des règles iptables générées par Era |
| 8 | 1 | Gwenael Remond | |
| 9 | 12 | Gwenael Remond | h3. règles sandards |
| 10 | 12 | Gwenael Remond | |
| 11 | 12 | Gwenael Remond | * <code>BasicDirectiveProcessor</code> |
| 12 | 12 | Gwenael Remond | |
| 13 | 12 | Gwenael Remond | * ACCEPT-DROP |
| 14 | 12 | Gwenael Remond | |
| 15 | 12 | Gwenael Remond | * SNAT |
| 16 | 12 | Gwenael Remond | |
| 17 | 12 | Gwenael Remond | * DNAT |
| 18 | 12 | Gwenael Remond | |
| 19 | 12 | Gwenael Remond | * REDIRECT |
| 20 | 12 | Gwenael Remond | |
| 21 | 12 | Gwenael Remond | |
| 22 | 12 | Gwenael Remond | h2. règles spécifiques |
| 23 | 12 | Gwenael Remond | |
| 24 | 6 | Gwenael Remond | * directive avec log |
| 25 | 1 | Gwenael Remond | * directive avec time |
| 26 | 8 | Gwenael Remond | |
| 27 | 8 | Gwenael Remond | * possibilités d'inversions : |
| 28 | 8 | Gwenael Remond | |
| 29 | 8 | Gwenael Remond | * inversion d'une source (pour une source unique) |
| 30 | 1 | Gwenael Remond | * inversion d'une destination (pour une destination unique) |
| 31 | 9 | Gwenael Remond | * inversion d'un service (pas d'un groupe de services) |
| 32 | 6 | Gwenael Remond | |
| 33 | 6 | Gwenael Remond | types de piles |
| 34 | 6 | Gwenael Remond | |
| 35 | 6 | Gwenael Remond | * pile principale <code>rules</code> |
| 36 | 6 | Gwenael Remond | * pile secondaire (à la fin), pour les règles implicites <code>implicit_rules</code> |
| 37 | 6 | Gwenael Remond | |
| 38 | 11 | Gwenael Remond | création d'une règle dans <code>processor.py</code> : |
| 39 | 6 | Gwenael Remond | |
| 40 | 6 | Gwenael Remond | <pre> |
| 41 | 6 | Gwenael Remond | def create_rule(self, target, chain_name, table, match_params, service_param, param_list): |
| 42 | 6 | Gwenael Remond | # On crée la règle avec la bonne chaine |
| 43 | 6 | Gwenael Remond | rule = TargettedRule(target, chain_name, table) |
| 44 | 6 | Gwenael Remond | # On ajoute tous les paramètres à la règle |
| 45 | 6 | Gwenael Remond | rule.add_parameter(service_param) |
| 46 | 6 | Gwenael Remond | for param in param_list: |
| 47 | 6 | Gwenael Remond | rule.add_parameter(param) |
| 48 | 6 | Gwenael Remond | # on process les paramètre du module time |
| 49 | 6 | Gwenael Remond | self.process_time(rule) |
| 50 | 6 | Gwenael Remond | return rule |
| 51 | 1 | Gwenael Remond | </pre> |
| 52 | 11 | Gwenael Remond | |
| 53 | 11 | Gwenael Remond | <code>iptrules.ParameterFactory</code> permet de générer des bouts de règles en une seule fois |
| 54 | 6 | Gwenael Remond | |
| 55 | 6 | Gwenael Remond | |
| 56 | 1 | Gwenael Remond | * règle de log |
| 57 | 1 | Gwenael Remond | |
| 58 | 1 | Gwenael Remond | exemple DROP : |
| 59 | 1 | Gwenael Remond | |
| 60 | 1 | Gwenael Remond | <pre> |
| 61 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext" |
| 62 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j DROP |
| 63 | 1 | Gwenael Remond | </pre> |
| 64 | 1 | Gwenael Remond | |
| 65 | 2 | Gwenael Remond | exemple ACCEPT avec une règle de log qui a une plage horaire |
| 66 | 3 | Gwenael Remond | |
| 67 | 3 | Gwenael Remond | <pre> |
| 68 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j LOG --log-prefix "iptables: era dmz-ext" |
| 69 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j DROP |
| 70 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT |
| 71 | 3 | Gwenael Remond | </pre> |
| 72 | 2 | Gwenael Remond | |
| 73 | 1 | Gwenael Remond | exemple SNAT : |
| 74 | 1 | Gwenael Remond | |
| 75 | 1 | Gwenael Remond | <pre> |
| 76 | 1 | Gwenael Remond | /sbin/iptables -t nat -A POSTROUTING -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j SNAT --to-source %%adresse_ip_eth0 |
| 77 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext" |
| 78 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT |
| 79 | 1 | Gwenael Remond | </pre> |
| 80 | 12 | Gwenael Remond | |
| 81 | 12 | Gwenael Remond | |
| 82 | 12 | Gwenael Remond | * règle spécifique container |
| 83 | 12 | Gwenael Remond | |
| 84 | 12 | Gwenael Remond | <code>build_container_rule()</code> |
| 85 | 12 | Gwenael Remond | |
| 86 | 12 | Gwenael Remond | TODO |
| 87 | 12 | Gwenael Remond | |
| 88 | 1 | Gwenael Remond | |
| 89 | 1 | Gwenael Remond | h2. bilan des règles ipsets générées par Era |
| 90 | 9 | Gwenael Remond | |
| 91 | 9 | Gwenael Remond | TODO |
| 92 | 9 | Gwenael Remond | |
| 93 | 9 | Gwenael Remond | h2. bilan des règles d'authentification (nufw) générée par Era |
| 94 | 5 | Gwenael Remond | |
| 95 | 5 | Gwenael Remond | TODO |