Présentation

Présentation et fonctionnalités

L'outil EOLE de génération de règles de pare-feu[1] pour le module Amon se nomme ERA[2].

Il permet de gérer la description de la politique de sécurité d'un pare-feu[1]. Cette politique est sauvegardée intégralement dans un fichier de type XML avec un format spécifique à l'application.

Par un processus de compilation, ERA transforme le fichier XML en un bloc de règles iptables[3], de manière à instancier ces règles sur un pare-feu[1] cible.

ERA et sa documentation sont sous licence libre.

Un logiciel en deux parties

  • L'interface de conception permet d'organiser la politique de filtrage et l'enregistre dans un fichier XML ;
  • le compilateur génère le script iptables , par compilation, à partir du fichier XML de description du pare-feu.

Remarque

Seul le format XML est utilisé par le module Amon. L'exportation au format iptables[3] permet d'être utilisable sur un autre pare-feu disposant de Netfilter.

Il n'est bien sûr pas nécessaire de connaître la syntaxe iptables pour manipuler ERA. Le but d'un tel logiciel est justement de s'abstraire de la syntaxe iptables, afin de pouvoir concevoir un pare-feu sans pour autant être un expert. Pour cela, l'interface graphique de ERA est un outil intéressant :

L'interface graphique d'ERA
L'interface graphique d'ERA

Truc & astucele fichier lance.firewall

Sur le pare-feu Amon, le fichier lance.firewall  présent dans /sbin/ est un fichier de règles iptables qui a été généré par ERA.

Remarquons que si le serveur sur lequel est lancé le compilateur de règles est en mode conteneurs, ERA va générer autant de fichiers de règles iptables que de conteneurs.