Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement. = Fonctions du Firewall = * Ne laisser passer que les couple [[VieCrans/ÇaMarchePlus/VérificationIpMac|adresse MAC, adresse IP]] correspondant aux machines enregistré par les adhérents à jour de leur cotisation. * Assurer la séparation des [[CransTechnique/VLAN|vlans]] par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok) * Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir [[CransTechnique/LimitationDébit|LimitationDébit]]) * Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]). * Partager équitablement le débit entre les adhérents * effectuer la redirection vers la [[CransTechnique/SystèmeSecours|connexion de secours]] lorsque la connexion via l'ENS est indisponible. * Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir [[CransTechnique/LimitationPortsExtérieurs|LimitationPortsExtérieurs]]). * Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes * Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/SurveillanceTrafic|SurveillanceTrafic]]). * Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur komaz. * Bloquer complètement les adhérents déconnectés et redirigé vers une page explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexion pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]]). * Limiter le nombre de connexions établie sur le port 22 par minute * Bloquer les [[CransTechnique/IpNonRoutables|ip non routables]] (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4) * Ne router que les [[CransTechnique/PlanAdressage|plages ip déléguées au Cr@ns]] par la DSI de l'ENS = L'application = Pour connaître le coté technique de l'application de ces règles on peut lire CransNounous/FirewallKomaz ---- * CatégorieCrans/PageNonTerminée (Détailler simplement en français le fonctionnement du firewall de komaz dans un premier temps, puis ceux des autres serveurs) * CatégoriePagePublique