**Ceci est une ancienne révision du document !**
Création d'un firewall basique
Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. Pour cela on utilise ufw qui est un firewall assez simple à utiliser.
On commence par l’installer:
- snippet.bash
apt-get install ufw
Pour les machines virtuelles
Sur la plupart des machines, l’idée va être d’autoriser uniquement les accès aux ports SSH, HTTP et HTTPS. On pourra ouvrir le port du socket Docker si nécessaire. Le reste est à ajouter en fonction des besoins.
Les règles de base seront donc :
- snippet.bash
# Autorisation du SSH ufw allow in 22 # Autorisation de HTTP/S ufw allow in 80 ufw allow in 443 # On ouvre la socket Docker sur le réseau ufw allow in 2376
Pour les hyperviseurs
Sur la plupart des machines, l’idée va être d’autoriser uniquement les accès aux ports SSH, DNS et Proxmox. On pourra ouvrir d’autres ports si nécessaires, mais ça ne devrait pas arriver trop souvent, les services tournant sur les machines virtuelles.
Les règles de base seront donc :
- snippet.bash
# Autorisation du SSH ufw allow in 22 # Autorisation pour DNS ufw allow in 53 # Autorisation du GUI Proxmox ufw allow in 8006
Pour toutes les machines
Enfin on définit une politique d’accès par défaut (fermé en entrée, ouvert en sortie) et on active ufw
.
- snippet.bash
ufw default deny ufw default allow outgoing ufw enable
Important:
Docker passe au travers des règles firewall configurées via ufw
. Tout les services Docker qui écoutent directement sur un port de la machine (Traefik par exemple) sont donc automatiquement exposés sur Internet, sans protection du firewall.