Présentation
Présentation et fonctionnalités
L'outil EOLE de génération de règles de pare-feu[1] pour les modules Amon et AmonEcole se nomme ERA[2].
Il permet de gérer la description de la politique de sécurité d'un pare-feu[1]. Cette politique est sauvegardée intégralement dans un fichier de type XML avec un format spécifique à l'application.
Par un processus de compilation, ERA transforme le fichier XML en un bloc de règles iptables[3], de manière à instancier ces règles sur un pare-feu[1] cible.
ERA et sa documentation sont sous licence libre.
AttentionInterface ERA
À partir d'EOLE 2.9, l'interface ERA s'exécute dans un conteneur[4] logiciel Podman[5].
L'image era
est téléchargée depuis le site hub.eole.education.
Le serveur doit donc pouvoir accéder à ce domaine au même titre qu'aux serveurs de mise à jour des modules.
Un logiciel en deux parties
- L'interface de conception permet d'organiser la politique de filtrage et l'enregistre dans un fichier XML ;
- le compilateur génère le script iptables, par compilation, à partir du fichier XML de description du pare-feu.
Remarque
Seul le format XML est utilisé par le module Amon. L'exportation au format iptables[3] permet d'être utilisable sur un autre pare-feu disposant de Netfilter.
Il n'est bien sûr pas nécessaire de connaître la syntaxe iptables pour manipuler ERA. Le but d'un tel logiciel est justement de s'abstraire de la syntaxe iptables, afin de pouvoir concevoir un pare-feu sans pour autant être un expert. Pour cela, l'interface graphique de ERA est un outil intéressant :
Truc & astucele fichier lance.firewall
Sur le pare-feu Amon, le fichier lance.firewall
présent dans /sbin/
est un fichier de règles iptables qui a été généré par ERA.
Remarquons que si le serveur sur lequel est lancé le compilateur de règles est en mode conteneurs, ERA va générer autant de fichiers de règles iptables que de conteneurs.