Onglet Firewall [Installation et mise en œuvre du module Amon ]

Onglet Firewall

Modèle de filtrage

Le modèle de filtrage doit être choisi en fonction du nombre d'interfaces activées et des services que l'on souhaite mettre en place.

Par convention le premier caractère des modèles de filtrage proposés est un chiffre qui correspond au nombre d'interfaces désirées.

Les modèles de zone par défaut proposés supportent jusqu'à 5 cartes réseaux :

2zones : gestion d'une zone admin ou pedago sur eth1 ;
2zones-amonecole : modèle spécifique au module AmonEcole (pedago sur eth1) ;
3zones : gestion d'une zone admin sur eth1 et d'une zone pedago sur eth2 ;
3zones-dmz : gestion d'une zone pedago sur eth1 et d'une zone DMZ publique pouvant accueillir un module Scribe sur eth2 ;
4zones : gestion d'une zone admin sur eth1, d'une zone pedago sur eth2 et d'une zone DMZ publique pouvant accueillir un module Scribe sur eth3 ;
5zones : gestion d'une zone admin sur eth1, d'une zone pedago sur eth2, d'une zone DMZ publique pouvant accueillir un module Scribe sur eth3 et d'une zone DMZ privée sur eth4.

Complément

Le modèle de zone proposés correspondent à un modèle de filtrage ERA. Les modèles de filtrage ERA sont la description de pare-feu enregistrés dans des fichiers XML situés par défaut dans le répertoire /usr/share/era/modeles/.

Truc & astuce

Avec ERA il est possible de créer un nouveau modèle personnalisé dans le répertoire /usr/share/era/modeles/. Celui-ci apparaîtra dans la liste des modèles proposés par défaut.

La variable Activer la gestion d'un Scribe dans la DMZ permet la prise en charge par bastion^[1] des règles propres à la DMZ^[2].

Exemple

Si l'on souhaite mettre en place l'architecture suivante avec Amon :

un réseau administratif ;
un réseau pédagogique ;
une DMZ contenant un serveur Scribe hébergeant des services web à ouvrir depuis l'extérieur.

La configuration recommandée sera :

Nombre d'interfaces à activer : 4 (onglet Général en mode basique) ;
Modèle de filtrage : 4zones (onglet Firewall en mode basique) ;
Activer la gestion d'un Scribe dans la DMZ : oui (onglet Firewall en mode normal).

Références

bastion

bastion est un service qui récupère les règles par défaut des zones réseaux utilisées par le module ainsi que toutes les règles personnalisées :

les règles optionnelles de l'EAD ;
les postes et les groupes de postes interdits ou restreints dans l'EAD ;
les règles sur les horaires de l'EAD ;
les règles ipsets (exceptions sur une directive) ;
les règles de la QOS ;
les règles tcpwrapper (host allow et hosts deny).

Le service bastion gère également les règles iptables dans les conteneurs lorsque le module en est pourvu.

La liste des actions du service se trouve dans le script /usr/share/era/bastion.sh.

Le service bastion met en cache les règles mais ne les régénère pas à chaque fois.

À partir de la version 2.6.1, seules les commandes reconfigure et bastion regen régénèrent les règles.

DMZ

Demilitarized Zone

En informatique, une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Les services susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

Source Wikipédia : http://fr.wikipedia.org/wiki/Zone démilitarisée (informatique)