Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
technique:adminsys:secu:firewall [2021/09/06 17:34] – qduchemi | technique:adminsys:secu:firewall [2023/06/10 19:08] (Version actuelle) – qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
{{indexmenu_n> | {{indexmenu_n> | ||
- | # Pare-feu | + | # Filtrer le trafic autorisé : pare-feu |
Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | ||
Ligne 8: | Ligne 8: | ||
## Firewall basique avec ufw | ## Firewall basique avec ufw | ||
+ | |||
+ | < | ||
+ | Sur Debian 11, `iptables` est disponibles en deux versions : une moderne (nft) et une ancienne (legacy). La version moderne n'est plus compatible avec `ufw`, qui construit des règles `iptables`. | ||
+ | |||
+ | Beaucoup de gens critiquent `ufw`, et à raison. En revanche, pour ce qu'on en fait, et pour simplifier l' | ||
+ | |||
+ | Exécuter la commande : | ||
+ | |||
+ | ``` | ||
+ | update-alternatives --set iptables / | ||
+ | ``` | ||
+ | |||
+ | sur les machines qui font tourner Debian 11 pour utiliser l' | ||
+ | </ | ||
### Installation | ### Installation | ||
Ligne 26: | Ligne 40: | ||
# Autorisation du SSH | # Autorisation du SSH | ||
ufw allow in 22 | ufw allow in 22 | ||
+ | # Autorisation pour le web | ||
+ | ufw allow in 80 | ||
+ | ufw allow in 443 | ||
# On ouvre la socket Docker sur le réseau | # On ouvre la socket Docker sur le réseau | ||
ufw allow in 2376 | ufw allow in 2376 | ||
``` | ``` | ||
- | < | + | < |
+ | |||
+ | Pour un cas très spécifique : lorsque vous essayez | ||
+ | |||
+ | ```bash | ||
+ | docker exec -it A bash | ||
+ | $ curl b.picasoft.net | ||
+ | ``` | ||
+ | |||
+ | sera bloqué. La magie de Docker | ||
### Configuration (hyperviseurs) | ### Configuration (hyperviseurs) |