Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:adminsys:secu:firewall [2021/11/09 21:44] – qduchemi
+++ technique:adminsys:secu:firewall [2023/06/10 19:08] (Version actuelle) – qduchemi
@@ Ligne 1: / Ligne 1: @@
 {{indexmenu_n>10}}
-# Pare-feu
+# Filtrer le trafic autorisé : pare-feu
 Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall.
@@ Ligne 40: / Ligne 40: @@
 # Autorisation du SSH
 ufw allow in 22
+# Autorisation pour le web
+ufw allow in 80
+ufw allow in 443
 # On ouvre la socket Docker sur le réseau
 ufw allow in 2376
 ```
-<bootnote warning>Remarquer que l'on n'ouvre pas les accès aux ports 80/443, parce que les services web de Picasoft sont derrière un conteneur Docker, [[technique:docker:general:traefik|Traefik]]. `ufw` n'est donc pas en mesure de filtrer les paquets à destination d'un conteneur Docker.</bootnote>
+<bootnote question>Heu, c'est [[technique:tech_team:traefik|Traefik]] qui gère les services web, donc Docker, et tu nous as dit que ça bypassait `ufw`... Ça sert à quoi d'autoriser les ports `80` et `443` ?</bootnote>
+Pour un cas très spécifique : lorsque vous essayez d'accéder à un conteneur depuis un autre conteneur situé sur la même machine avec son URL publique. Si le conteneur `A` (`a.picasoft.net`) et `B` (`b.picasoft.net`) tournent sur la même machine, alors sans ces règles :
+```bash
+docker exec -it A bash
+$ curl b.picasoft.net
+```
+sera bloqué. La magie de Docker et d'`iptables`...
 ### Configuration (hyperviseurs)