Sources et destinations : Interdire l'accès à un sous-réseau depuis une interface

Dans l'EAD il est possible d'interdire l'accès à un sous-réseau depuis une interface.

Cette fonctionnalité se base sur des règles iptables standard et sur l'utilisation du module time d'iptables dans le cas des destinations interdites par plage horaire.

Vue d'ensemble pour l'ajout d'une destination à interdire
Vue d'ensemble pour l'ajout d'une destination à interdire

Dans le menu de l'EAD, choisir l'entrée portant le nom du filtre choisi dans l'interface de configuration du module, par défaut Filtre web 1. Puis sélectionner Sources et destinations et enfin Destinations interdites.

Pour interdire une destination il faut :

  • définir le sous-réseau (ou le poste) de destination ;
  • choisir l'interface source depuis laquelle interdire l'accès (n'apparaît que s'il existe plusieurs interfaces rattachées au filtre web sélectionné).

ExempleInterdire l'accès au sous-réseau 10.121.11.0/255.255.255.0 depuis l'interface admin (xxx)

Ajout d'une destination à interdire
Ajout d'une destination à interdire

Soit l'interface X sur la zone de filtre web X.

  • Saisir 10.121.11.0/255.255.255.0 dans Destinations à interdire ;
  • Choisir admin (xxx) dans la liste Interface associée à l'adresse ;
  • Cliquer sur Ajouter.

Un message  de confirmation "L'adresse 10.121.11.0/255.255.255.0 a été ajoutée à la liste des destinations interdites. Le pare-feu a bien été redémarré" apparaît.

ExempleAnnuler une interdiction

Dans le menu de l'EAD, choisir l'entrée portant le nom du filtre choisi dans l'interface de configuration du module, par défaut Filtre web 1. Puis sélectionner Sources et destinations et enfin Destinations interdites.

Suppression d'une destination interdite
Suppression d'une destination interdite
  • Choisir l'interdiction à supprimer dans la liste ;
  • Cliquer sur Supprimer.

Complément

Les destinations interdites sont écrites dans :

/usr/share/ead2/backend/tmp/dest_interdites<num_instance>.txt