Era24 » Historique » Version 16
Gwenael Remond, 28/01/2013 17:08
1 | 1 | Gwenael Remond | h1. Era24 |
---|---|---|---|
2 | 1 | Gwenael Remond | |
3 | 1 | Gwenael Remond | h2. Décoreller le backend du frontend |
4 | 1 | Gwenael Remond | |
5 | 9 | Gwenael Remond | * commencer par faire le bilan des types de règles générés par Era |
6 | 4 | Gwenael Remond | |
7 | 4 | Gwenael Remond | h2. bilan des règles iptables générées par Era |
8 | 1 | Gwenael Remond | |
9 | 12 | Gwenael Remond | h3. règles sandards |
10 | 12 | Gwenael Remond | |
11 | 12 | Gwenael Remond | * <code>BasicDirectiveProcessor</code> |
12 | 12 | Gwenael Remond | |
13 | 15 | Gwenael Remond | * ACCEPT |
14 | 1 | Gwenael Remond | |
15 | 15 | Gwenael Remond | <pre> |
16 | 15 | Gwenael Remond | /sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0/0 -d 0.0.0.0 -j ACCEPT |
17 | 15 | Gwenael Remond | </pre> |
18 | 1 | Gwenael Remond | |
19 | 15 | Gwenael Remond | * DROP |
20 | 1 | Gwenael Remond | |
21 | 15 | Gwenael Remond | <pre> |
22 | 15 | Gwenael Remond | /sbin/iptables -t filter -A bas-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0.0.0.0 -d 0/0 -j DROP |
23 | 15 | Gwenael Remond | </pre> |
24 | 15 | Gwenael Remond | |
25 | 1 | Gwenael Remond | * SNAT |
26 | 15 | Gwenael Remond | |
27 | 12 | Gwenael Remond | |
28 | 12 | Gwenael Remond | * DNAT |
29 | 12 | Gwenael Remond | |
30 | 12 | Gwenael Remond | * REDIRECT |
31 | 12 | Gwenael Remond | |
32 | 16 | Gwenael Remond | <pre> |
33 | 16 | Gwenael Remond | /sbin/iptables -t filter -A ext-bas -p tcp --dport 56 -j ACCEPT |
34 | 16 | Gwenael Remond | /sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0/0 -d 0.0.0.0 -j REDIRECT --to-ports 56 |
35 | 16 | Gwenael Remond | </pre> |
36 | 16 | Gwenael Remond | |
37 | 13 | Gwenael Remond | * FORWARD |
38 | 13 | Gwenael Remond | |
39 | 13 | Gwenael Remond | <pre> |
40 | 13 | Gwenael Remond | if directive.action in (1, 2): # ACTION_DENY, ACTION_ALLOW |
41 | 13 | Gwenael Remond | return BasicDirectiveProcessor(directive, default_policy=default_policy) |
42 | 13 | Gwenael Remond | if directive.action == 4: # ACTION_REDIRECT |
43 | 13 | Gwenael Remond | return RedirectDirectiveProcessor(directive) |
44 | 13 | Gwenael Remond | if directive.action == 8: # ACTION_DNAT |
45 | 13 | Gwenael Remond | return DNATDirectiveProcessor(directive, is_container) |
46 | 13 | Gwenael Remond | if directive.action == 16: # ACTION_MASK |
47 | 13 | Gwenael Remond | return SNATDirectiveProcessor(directive) |
48 | 13 | Gwenael Remond | if directive.action == 32: # ACTION_FORWARD |
49 | 13 | Gwenael Remond | return ForwardDirectiveProcessor(directive) |
50 | 13 | Gwenael Remond | </pre> |
51 | 13 | Gwenael Remond | |
52 | 12 | Gwenael Remond | |
53 | 12 | Gwenael Remond | h2. règles spécifiques |
54 | 12 | Gwenael Remond | |
55 | 6 | Gwenael Remond | * directive avec log |
56 | 1 | Gwenael Remond | * directive avec time |
57 | 8 | Gwenael Remond | |
58 | 8 | Gwenael Remond | * possibilités d'inversions : |
59 | 8 | Gwenael Remond | |
60 | 8 | Gwenael Remond | * inversion d'une source (pour une source unique) |
61 | 1 | Gwenael Remond | * inversion d'une destination (pour une destination unique) |
62 | 9 | Gwenael Remond | * inversion d'un service (pas d'un groupe de services) |
63 | 6 | Gwenael Remond | |
64 | 6 | Gwenael Remond | types de piles |
65 | 6 | Gwenael Remond | |
66 | 6 | Gwenael Remond | * pile principale <code>rules</code> |
67 | 6 | Gwenael Remond | * pile secondaire (à la fin), pour les règles implicites <code>implicit_rules</code> |
68 | 6 | Gwenael Remond | |
69 | 11 | Gwenael Remond | création d'une règle dans <code>processor.py</code> : |
70 | 6 | Gwenael Remond | |
71 | 6 | Gwenael Remond | <pre> |
72 | 6 | Gwenael Remond | def create_rule(self, target, chain_name, table, match_params, service_param, param_list): |
73 | 6 | Gwenael Remond | # On crée la règle avec la bonne chaine |
74 | 6 | Gwenael Remond | rule = TargettedRule(target, chain_name, table) |
75 | 6 | Gwenael Remond | # On ajoute tous les paramètres à la règle |
76 | 6 | Gwenael Remond | rule.add_parameter(service_param) |
77 | 6 | Gwenael Remond | for param in param_list: |
78 | 6 | Gwenael Remond | rule.add_parameter(param) |
79 | 6 | Gwenael Remond | # on process les paramètre du module time |
80 | 6 | Gwenael Remond | self.process_time(rule) |
81 | 6 | Gwenael Remond | return rule |
82 | 1 | Gwenael Remond | </pre> |
83 | 11 | Gwenael Remond | |
84 | 11 | Gwenael Remond | <code>iptrules.ParameterFactory</code> permet de générer des bouts de règles en une seule fois |
85 | 6 | Gwenael Remond | |
86 | 6 | Gwenael Remond | |
87 | 1 | Gwenael Remond | * règle de log |
88 | 1 | Gwenael Remond | |
89 | 1 | Gwenael Remond | exemple DROP : |
90 | 1 | Gwenael Remond | |
91 | 1 | Gwenael Remond | <pre> |
92 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext" |
93 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j DROP |
94 | 1 | Gwenael Remond | </pre> |
95 | 1 | Gwenael Remond | |
96 | 2 | Gwenael Remond | exemple ACCEPT avec une règle de log qui a une plage horaire |
97 | 3 | Gwenael Remond | |
98 | 3 | Gwenael Remond | <pre> |
99 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j LOG --log-prefix "iptables: era dmz-ext" |
100 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j DROP |
101 | 2 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT |
102 | 3 | Gwenael Remond | </pre> |
103 | 2 | Gwenael Remond | |
104 | 1 | Gwenael Remond | exemple SNAT : |
105 | 1 | Gwenael Remond | |
106 | 1 | Gwenael Remond | <pre> |
107 | 1 | Gwenael Remond | /sbin/iptables -t nat -A POSTROUTING -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j SNAT --to-source %%adresse_ip_eth0 |
108 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext" |
109 | 1 | Gwenael Remond | /sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT |
110 | 1 | Gwenael Remond | </pre> |
111 | 12 | Gwenael Remond | |
112 | 14 | Gwenael Remond | |
113 | 14 | Gwenael Remond | * marquage (MARK) |
114 | 14 | Gwenael Remond | |
115 | 14 | Gwenael Remond | TODO |
116 | 12 | Gwenael Remond | |
117 | 12 | Gwenael Remond | * règle spécifique container |
118 | 12 | Gwenael Remond | |
119 | 12 | Gwenael Remond | <code>build_container_rule()</code> |
120 | 12 | Gwenael Remond | |
121 | 12 | Gwenael Remond | TODO |
122 | 12 | Gwenael Remond | |
123 | 1 | Gwenael Remond | |
124 | 1 | Gwenael Remond | h2. bilan des règles ipsets générées par Era |
125 | 9 | Gwenael Remond | |
126 | 9 | Gwenael Remond | TODO |
127 | 9 | Gwenael Remond | |
128 | 9 | Gwenael Remond | h2. bilan des règles d'authentification (nufw) générée par Era |
129 | 5 | Gwenael Remond | |
130 | 5 | Gwenael Remond | TODO |