Le Pare-feu du poste client
Paramétrage du pare-feu sur les postes clients
Il est nécessaire d'avoir un accès "root".
Le fichier /home/client_scribe/liste_fwregles.eol
contient les règles de pare-feu appliquées à chaque démarrage du poste (à chaque démarrage du service Scribe sur le poste pour être précis).
Ajout d'une règle
Une règle possède la structure suivante :
OS : :"NOM_REGLE" ; ;proto="PROTOCOLE" ; ;program="PROGRAMME" ; ;ip_src=IP_SOURCE ; ;ip_dst=IP_DISTANTE ; ;port_dst=PORT_DISTANT ; ;action=ACTION
- OS : WinXP, Vista (séparer par "|" pour plusieurs OS)
- NOM_REGLE : seulement des caractères alphanumériques, sans accents et sans espaces
- PROTOCOLE : any, tcp, udp, icmp
- PROGRAMME : chemin local ou réseau d'un programme
- IP_SOURCE : adresse IP source
- IP_DISTANTE : adresse IP distante
- PORT_DISTANT : port distant
- ACTION : allow, block
Par exemple :
On a un serveur AutoCad avec l'IP 172.16.0.21, on veut y autoriser l'accès en cas de blocage réseau par Gestion-postes
:
WinXP|Vista:: "AcadServeur" ;; proto = "any" ;; ip_src = "any" ;; ip_dst = 172.16.0.21 ;; action = "allow"
Attention
Il est indispensable de générer une nouvelle somme md5 à chaque modification de /home/client_scribe/liste_fwregles.eol
pour que le service Scribe puisse en valider l'intégrité lors de son téléchargement.
md5sum /home/client_scribe/liste_fwregles.eol > /home/client_scribe/liste_fwregles.eol.MD5SUM
Attention
/home/client_scribe/liste_fwregles.eol
est un template Creole, cela signifie qu'il est écrasé à chaque reconfigure/mise à jour.
Pour pérenniser les modifications réalisées dans /home/client_scribe/liste_fwregles.eol
:
cp /home/client_scribe/liste_fwregles.eol /usr/share/eole/creole/modif
gen_patch
reconfigure