Le compilateur
La génération des règles iptables
A la compilation du fichier XML, un certain nombre d'actions sont effectuées. Ce sont des règles iptables :
- définition d'une sous-chaîne pour chaque flux (liaison entre zone/extrémité) ;
- création de la politique par défaut (en fonction du niveau des zones) ;
- ajout des règles correspondant aux directives ;
- ajout de règles implicites liées au directives ;
- insertion des inclusions statiques (règle iptables de bas niveau).
Sur Amon, le compilateur gère aussi l'affichage des règles optionnelles dans l'EAD et récupère leur configuration en cas de mise à jour, et contrôle l'activation des directives cachées.
Le script iptables peut-être généré depuis l'interface ERA ou bien depuis un utilitaire ligne de commande plus complet.
Le bouton générer
, bouton de génération des règles iptables n'est utile que si l'on n'est pas sur un Amon.
Il est donc possible depuis l'interface de transcrire directement en règles iptables ce qui est enregistré dans le fichier XML.
C'est aussi au moment de la compilation que sont gérées les directives cachées. Elles sont activées ou désactivées selon ce qui a été spécifié.
Utilisation en ligne de commande
Aller dans le répertoire era /usr/share/era
et lancer le compilateur avec le fichier de modèles adapté
[era]
$ ./backend/compiler --help
compiler [options] era_model_file.xml
par exemple :
[era]
$ ./backend/compiler modeles/3zones.xml
différentes options sont possibles, taper --help
pour les détails ou regarder le fichier
/usr/share/era/bastion.sh
qui correspond à ce qui est lancé par le service bastion
service bastion restart
est lancé