Version 21 - Historique - Era24 - ERA - Ensemble Ouvert Libre Évolutif

Era24 » Historique » Version 21

Gwenael Remond, 28/01/2013 17:25

-Gwenael Remond
+h1. Era24
 Gwenael Remond
-Gwenael Remond
+h2. Décoreller le backend du frontend
 Gwenael Remond
-Gwenael Remond
+* commencer par faire le bilan des types de règles générés par Era
 Gwenael Remond
-Gwenael Remond
+* rappel : les types de directives :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+    if directive.action in (1, 2): # ACTION_DENY, ACTION_ALLOW
-Gwenael Remond
+        return BasicDirectiveProcessor(directive, default_policy=default_policy)
-Gwenael Remond
+    if directive.action == 4: # ACTION_REDIRECT
-Gwenael Remond
+        return RedirectDirectiveProcessor(directive)
-Gwenael Remond
+    if directive.action == 8: # ACTION_DNAT
-Gwenael Remond
+        return DNATDirectiveProcessor(directive, is_container)
-Gwenael Remond
+    if directive.action == 16: # ACTION_MASK
-Gwenael Remond
+        return SNATDirectiveProcessor(directive)
-Gwenael Remond
+    if directive.action == 32: # ACTION_FORWARD
-Gwenael Remond
+        return ForwardDirectiveProcessor(directive)
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+h2. bilan des règles iptables générées par Era
 Gwenael Remond
-Gwenael Remond
+h3. règles sandards
 Gwenael Remond
-Gwenael Remond
+* <code>BasicDirectiveProcessor</code>
 Gwenael Remond
-Gwenael Remond
+* ACCEPT
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN  -s 0/0 -d 0.0.0.0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+* DROP
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A bas-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN  -s 0.0.0.0 -d 0/0 -j DROP
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+h3. directive non basiques :
 Gwenael Remond
-Gwenael Remond
+* SNAT
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0/0 -d 0.0.0.0 -j ACCEPT
-Gwenael Remond
+/sbin/iptables -t filter -A ext-bas -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN  -s 0/0 -d 0.0.0.0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+* DNAT
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN  -s 0/0 -d 0.0.0.0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+* REDIRECT
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A ext-bas  -p tcp --dport 56 -j ACCEPT
-Gwenael Remond
+/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN  -s 0/0 -d 0.0.0.0 -j REDIRECT --to-ports 56
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+* FORWARD
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -I FORWARD -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0/0 -d 0.0.0.0 -j ACCEPT
-Gwenael Remond
+/sbin/iptables -t filter -I FORWARD -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -s 0/0 -d 0.0.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+h2. règles spécifiques
 Gwenael Remond
-Gwenael Remond
+* directive avec log
-Gwenael Remond
+* directive avec time
 Gwenael Remond
-Gwenael Remond
+* possibilités d'inversions :
 Gwenael Remond
-Gwenael Remond
+  * inversion d'une source (pour une source unique)
-Gwenael Remond
+  * inversion d'une destination (pour une destination unique)
-Gwenael Remond
+  * inversion d'un service (pas d'un groupe de services)
 Gwenael Remond
-Gwenael Remond
+types de piles
 Gwenael Remond
-Gwenael Remond
+* pile principale <code>rules</code>
-Gwenael Remond
+* pile secondaire (à la fin), pour les règles implicites <code>implicit_rules</code>
 Gwenael Remond
-Gwenael Remond
+création d'une règle dans <code>processor.py</code>  :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+   def create_rule(self, target, chain_name, table, match_params, service_param, param_list):
-Gwenael Remond
+        # On crée la règle avec la bonne chaine
-Gwenael Remond
+        rule = TargettedRule(target, chain_name, table)
-Gwenael Remond
+        # On ajoute tous les paramètres à la règle
-Gwenael Remond
+        rule.add_parameter(service_param)
-Gwenael Remond
+        for param in param_list:
-Gwenael Remond
+            rule.add_parameter(param)
-Gwenael Remond
+        # on process les paramètre du module time
-Gwenael Remond
+        self.process_time(rule)
-Gwenael Remond
+        return rule
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+<code>iptrules.ParameterFactory</code> permet de générer des bouts de règles en une seule fois
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+* règle de log
 Gwenael Remond
-Gwenael Remond
+exemple DROP :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j DROP
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+exemple ACCEPT avec une règle de log qui a une plage horaire
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j DROP
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+exemple SNAT :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t nat -A POSTROUTING -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j SNAT --to-source %%adresse_ip_eth0
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+* marquage (MARK)
 Gwenael Remond
-Gwenael Remond
+TODO
 Gwenael Remond
-Gwenael Remond
+* ipsec
 Gwenael Remond
-Gwenael Remond
+TODO
 Gwenael Remond
-Gwenael Remond
+* règle spécifique container
 Gwenael Remond
-Gwenael Remond
+<code>build_container_rule()</code>
 Gwenael Remond
-Gwenael Remond
+TODO
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+h2. bilan des règles ipsets générées par Era
 Gwenael Remond
-Gwenael Remond
+TODO
 Gwenael Remond
-Gwenael Remond
+h2. bilan des règles d'authentification (nufw) générée par Era
 Gwenael Remond
-Gwenael Remond
+TODO

Projet

Général

Profil

Distribution EOLE » Outils Eole » ERA

Era24 » Historique » Version 21