Onglet Firewall

Modèle de filtrage

Le modèle de filtrage doit être choisi en fonction du nombre d'interfaces activées et des services que l'on souhaite mettre en place.

Par convention, le premier caractère des modèles de filtrage proposés est un chiffre qui correspond au nombre d'interfaces désirées.

Les modèles de zone par défaut proposés supportent jusqu'à 5 cartes réseau :

  • 2zones : gestion d'une zone admin ou pedago sur l'interface 1 ;

  • 2zones-amonecole : modèle spécifique au module AmonEcole (pedago sur l'interface 1) ;

  • 3zones : gestion d'une zone admin sur l'interface 1 et d'une zone pedago sur l'interface 2 ;

  • 3zones-dmz : gestion d'une zone pedago sur l'interface 1 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 2 ;

  • 4zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 ;

  • 5zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2, d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 et d'une zone DMZ privée sur l'interface 4.

Complément

Chaque modèle de zone proposé correspond à un modèle de filtrage ERA. Les modèles de filtrage ERA sont la description de pare-feu enregistrés dans des fichiers XML situés par défaut dans le répertoire /usr/share/era/modeles/.

Truc & astuce

Avec ERA il est possible de créer un nouveau modèle personnalisé dans le répertoire /usr/share/era/modeles/. Celui-ci apparaîtra dans la liste des modèles proposés par défaut.

Déclaration d'un module Scribe en DMZ

La variable Activer la gestion d'un Scribe dans la DMZ permet la prise en charge par bastion[1] des règles propres à la DMZ[2].

Exemple

Si l'on souhaite mettre en place l'architecture suivante avec Amon :

  • un réseau administratif ;
  • un réseau pédagogique ;
  • une DMZ contenant un serveur Scribe hébergeant des services web à ouvrir depuis l'extérieur.

La configuration recommandée sera :

  • Nombre d'interfaces à activer : 4 (onglet Général en mode basique) ;
  • Modèle de filtrage : 4zones (onglet Firewall en mode basique) ;
  • Activer la gestion d'un Scribe dans la DMZ : oui (onglet Firewall en mode normal).

Optimisation de la génération des règles

En mode expert, il est possible de désactiver la génération accélérée des règles de pare-feu en passant la variable Optimiser la génération des règles de pare-feu à non.

Remarque

La génération des règles de pare-feu accélérée utilise le format iptables-restore en lieu et place d'une succession de commandes iptables.

Interdire des accès réseaux

Par défaut, l'accès à des réseaux extérieurs pour des réseaux autres que l'interface 1 (l'interface 1 étant généralement admin) n'est pas interdit.

Si on passe l'option Interdire les interfaces autres que 1 à accéder à des réseaux extérieurs à oui, il est possible d'interdire l'accès

pour la ou les adresse(s) réseau et le ou les masque(s) souhaités.

Pour les réseaux RVP, il est habituel de ne pas conserver les données téléchargées par les utilisateurs dans le cache du proxy. C'est pour cela que l'option Désactiver le cache du proxy pour les accès à ce réseau est à oui par défaut. Cela signifie qu'en cas de téléchargement de page web, d'image, ... ces informations seront automatiquement re-téléchargées depuis le site source plutôt que conservées dans le cache du proxy.

Enfin, l'option En plus de l'interdiction proxy, interdire tous les protocoles permet de bloquer, via des règles iptables tout accès à ces réseaux.

Attention

La variable obsolète Autoriser d'autres zones que l'interface 1 à accéder à ce réseau (obsolète) est à laisser à non.

Elle vient en contradiction avec la variable Choisir d'interdire des accès réseaux, alors qu'une seule de ces variable peut-être à oui.