Version 8 - Historique - Era24 - ERA - Ensemble Ouvert Libre Évolutif

Era24 » Historique » Version 8

Gwenael Remond, 28/01/2013 15:25

-Gwenael Remond
+h1. Era24
 Gwenael Remond
-Gwenael Remond
+h2. Décoreller le backend du frontend
 Gwenael Remond
-Gwenael Remond
+commencer par faire le bilan des types de règles générés par Era
 Gwenael Remond
-Gwenael Remond
+h2. bilan des règles iptables générées par Era
 Gwenael Remond
-Gwenael Remond
+* directive avec log
-Gwenael Remond
+* directive avec time
 Gwenael Remond
-Gwenael Remond
+* possibilités d'inversions :
 Gwenael Remond
-Gwenael Remond
+  * inversion d'une source (pour une source unique)
-Gwenael Remond
+  * inversion d'une destination (pour une destination unique)
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+types de piles
 Gwenael Remond
-Gwenael Remond
+* pile principale <code>rules</code>
-Gwenael Remond
+* pile secondaire (à la fin), pour les règles implicites <code>implicit_rules</code>
 Gwenael Remond
 Gwenael Remond
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+création d'une règle dans le processor :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+   def create_rule(self, target, chain_name, table, match_params, service_param, param_list):
-Gwenael Remond
+        # On crée la règle avec la bonne chaine
-Gwenael Remond
+        rule = TargettedRule(target, chain_name, table)
-Gwenael Remond
+        # On ajoute tous les paramètres à la règle
-Gwenael Remond
+        rule.add_parameter(service_param)
-Gwenael Remond
+        for param in param_list:
-Gwenael Remond
+            rule.add_parameter(param)
-Gwenael Remond
+        # on process les paramètre du module time
-Gwenael Remond
+        self.process_time(rule)
-Gwenael Remond
+        return rule
-Gwenael Remond
+</pre>
 Gwenael Remond
 Gwenael Remond
 Gwenael Remond
-Gwenael Remond
+* règle de log
 Gwenael Remond
-Gwenael Remond
+exemple DROP :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -j DROP
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+exemple ACCEPT avec une règle de log qui a une plage horaire
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth3 -o %%interface_gw -s 0/0 -d 0/0 -m time --timestart 10:00 --timestop 12:00 --weekdays Mon,Tue -j DROP
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+exemple SNAT :
 Gwenael Remond
-Gwenael Remond
+<pre>
-Gwenael Remond
+/sbin/iptables -t nat -A POSTROUTING -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j SNAT --to-source %%adresse_ip_eth0
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j LOG --log-prefix "iptables: era dmz-ext"
-Gwenael Remond
+/sbin/iptables -t filter -A dmz-ext -i eth3 -o %%interface_gw -s 19.168.234.15/255.255.255.255 -d 0/0 -j ACCEPT
-Gwenael Remond
+</pre>
 Gwenael Remond
-Gwenael Remond
+h2. bilan des règles ipsets générées par Era
 Gwenael Remond
-Gwenael Remond
+TODO

Projet

Général

Profil

Distribution EOLE » Outils Eole » ERA

Era24 » Historique » Version 8