Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement. = Fonctions du Firewall = * Ne laisser passer que les couple [[VieCrans/ÇaMarchePlus/VérificationIpMac|adresse MAC, adresse IP]] correspondant aux machines enregistré par les adhérents à jour de leur cotisation. * Assurer la séparation des [[CransTechnique/AdminRéseau/VLAN|vlans]] par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok) * Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir [[CransTechnique/FireWall/LimitationDébit|LimitationDébit]]) * --(Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]))--. * Partager équitablement le débit entre les adhérents * effectuer la redirection vers la [[CransTechnique/ServicesMineurs/SystèmeSecours|connexion de secours]] lorsque la connexion via l'ENS est indisponible. * Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir [[CransTechnique/FireWall/LimitationPortsExtérieurs|LimitationPortsExtérieurs]]). * Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes * --(Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/ServicesMineurs/SurveillanceTrafic|SurveillanceTrafic]]))--. * Logguer tous les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur [[CransTechnique/LesServeurs/ServeurKomaz|Odlyd]]. * Bloquer complètement les adhérents déconnectés et redirigé vers une [[VieCrans/PagesDeDeconnexion|page de déconnexion]] explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexions pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]], …). * Limiter le nombre de connexions établies sur le port 22 par minute * Bloquer les [[CransTechnique/AdminRéseau/IpNonRoutables|ip non routables]] (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4, 100.64.0.0/10, …) * Ne router que les [[CransTechnique/PlanAdressage|plages ip déléguées au Cr@ns]] par la DSI de l'ENS = L'application = Pour connaître le coté technique de l'application de ces règles on peut lire CransTechnique/FireWall ---- * CatégoriePageNonTerminée (Détailler simplement en français le fonctionnement du firewall de komaz dans un premier temps, puis ceux des autres serveurs) * CatégoriePagePublique