• Les cookies assurent le bon fonctionnement de nos services. En poursuivant votre navigation, vous acceptez l'utilisation de cookies.

Gestion des alias IP avec Era
Amon , EOLE , Technique

Era, gestion de règles de pare-feu

Era est une application graphique de génération de règles de sécurité adaptée au pare-feu Amon. À partir du fichier XML de description du pare-feu, un script de règles iptables pour Netfilter est généré de manière à implémenter ces règles sur le pare-feu Amon. La génération directe de règles iptables est également possible, permettant d’utiliser Era pour d’autres type de serveurs sous GNU/linux.

Era est disponible en version GNU/Linux et Microsoft Windows.

La forge du projet : http://dev-eole.ac-dijon.fr/projects/era

Les bonnes pratiques Era

Dans le cadre des bonnes pratiques Era, il est bon de mentionner la gestion des IP aliases. Les VLANs feront l'objet d'un prochain article.

Les fausses bonnes idées :

  • créer une zone supplémentaire avec une carte eth0:X
  • aller de suite dans les inclusions statiques
  • vouloir créer une extrémité dans le bastion
  • utiliser la variable eth0 de Creole comme IP multivaluée

Création des alias IP

Voici comment faire :
  • dans la zone de la carte, créer une extrémité avec l'IP alias
  • créer une directive avec cette extrémité plutôt qu'avec l'extrémité  correspondant à la zone
C'est parce qu'iptables ne reconnaît pas les aliases. Au niveau iptables, c'est une syntaxe du type -i eth0 et non du type -i eth0:X qui est en fait une erreur de syntaxe.

Cela donne une règle du type :

-i eth0 -s <adresse_ip_alias> -d <adresse_ip_autre_alias> ...
Les aliases IP : eth0, eth0:1, eth0:2 n'ont aucune valeur en termes d'iptables, il faut pouvoir garder simplement la carte ethernet
-i eth0
C'est l'IP dans le -s <adresse_ip_alias> et dans le -d <ip_aliases>

Comportement ultérieur éventuel

La création automatique d'extrémités depuis l'interface d'édition des zones sera envisagée. L'édition des aliases serait incluse.

Commentaires

Aucun commentaire pour l'instant, soyez le premier !