Le Pare-feu du poste client

Paramétrage du pare-feu sur les postes clients

Il est nécessaire d'avoir un accès "root".

Le fichier /home/client_scribe/liste_fwregles.eol contient les règles de pare-feu appliquées à chaque démarrage du poste (à chaque démarrage du service Scribe sur le poste pour être précis).

Ajout d'une règle

Une règle possède la structure suivante :

OS : :"NOM_REGLE" ; ;proto="PROTOCOLE" ; ;program="PROGRAMME" ; ;ip_src=IP_SOURCE ; ;ip_dst=IP_DISTANTE ; ;port_dst=PORT_DISTANT ; ;action=ACTION

  • OS : WinXP, Vista (séparer par "|" pour plusieurs OS)
  • NOM_REGLE : seulement des caractères alphanumériques, sans accents et sans espaces
  • PROTOCOLE : any, tcp, udp, icmp
  • PROGRAMME : chemin local ou réseau d'un programme
  • IP_SOURCE : adresse IP source
  • IP_DISTANTE : adresse IP distante
  • PORT_DISTANT : port distant
  • ACTION : allow, block

Par exemple :

On a un serveur AutoCad avec l'IP 172.16.0.21, on veut y autoriser l'accès en cas de blocage réseau par Gestion-postes :

WinXP|Vista:: "AcadServeur" ;; proto = "any" ;; ip_src = "any" ;; ip_dst = 172.16.0.21 ;; action = "allow"

Attention

Il est indispensable de générer une nouvelle somme MD5[1] [1] à chaque modification de /home/client_scribe/liste_fwregles.eol pour que le service Scribe puisse en valider l'intégrité lors de son téléchargement.

md5sum /home/client_scribe/liste_fwregles.eol > /home/client_scribe/liste_fwregles.eol.MD5SUM

Attention

/home/client_scribe/liste_fwregles.eol est un template Creole, cela signifie qu'il est écrasé à chaque reconfigure/mise à jour.

Pour pérenniser les modifications réalisées dans /home/client_scribe/liste_fwregles.eol :

cp /home/client_scribe/liste_fwregles.eol /usr/share/eole/creole/modif

gen_patch

reconfigure