|
Taille: 2999
Commentaire: broken links
|
Taille: 1298
Commentaire: Update firewall
|
| Texte supprimé. | Texte ajouté. |
| Ligne 4: | Ligne 4: |
| * Ne laisser passer que les couple [[VieCrans/ÇaMarchePlus/VérificationIpMac|adresse MAC, adresse IP]] correspondant aux machines enregistré par les adhérents à jour de leur cotisation. | |
| Ligne 6: | Ligne 6: |
| * Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir [[CransTechnique/Services/FireWall/LimitationDébit|LimitationDébit]]) * --(Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]))--. * Partager équitablement le débit entre les adhérents * effectuer la redirection vers la [[CransTechnique/ServicesMineurs/SystèmeSecours|connexion de secours]] lorsque la connexion via l'ENS est indisponible. |
|
| Ligne 11: | Ligne 7: |
| * Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes * --(Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/ServicesMineurs/SurveillanceTrafic|SurveillanceTrafic]]))--. * Logguer tous les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur [[CransTechnique/LesServeurs/ServeurOdlyd|Odlyd]]. * Bloquer complètement les adhérents déconnectés et redirigé vers une [[VieCrans/PagesDeDeconnexion|page de déconnexion]] explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexions pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]], …). |
* Ouvrir les port renseignés dans l'annuaire ldap ves les machines correspondantes * Logguer tous les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur. |
| Ligne 17: | Ligne 11: |
| * Ne router que les [[CransTechnique/PlanAdressage|plages ip déléguées au Cr@ns]] par la DSI de l'ENS | * Ne router que certaines [[CransTechnique/PlanAdressage|plages ip]] |
| Ligne 20: | Ligne 14: |
| Pour connaître le coté technique de l'application de ces règles on peut lire [[CransTechnique/Services/FireWall]] (page non encore écrite, les sous-pages seront plus intéressantes) | Pour connaître le coté technique de l'application de ces règles on peut lire [[CransTechnique/Services/FireWall]] |
| Ligne 23: | Ligne 17: |
| * CatégoriePageNonTerminée (Détailler simplement en français le fonctionnement du firewall de komaz dans un premier temps, puis ceux des autres serveurs) |
Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement.
Fonctions du Firewall
Assurer la séparation des vlans par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok)
Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir LimitationPortsExtérieurs).
- Ouvrir les port renseignés dans l'annuaire ldap ves les machines correspondantes
- Logguer tous les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur.
- Limiter le nombre de connexions établies sur le port 22 par minute
Bloquer les ip non routables (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4, 100.64.0.0/10, …)
Ne router que certaines plages ip
L'application
Pour connaître le coté technique de l'application de ces règles on peut lire CransTechnique/Services/FireWall