Corrections et mise à jour

2020-03-05 07:21:54 +01:00 · 2020-03-05 07:21:54 +01:00 · 501c84ce42
parent 4ef032f0f2
commit 501c84ce42
6 changed files with 34 additions and 19 deletions
--- a/applicatif/zone_dmz/README.md
+++ b/applicatif/zone_dmz/README.md
@ -26,4 +26,4 @@ Pour Squid
 # Table des matières
 1. [HAProxy](haproxy.md)
 2. [Serveur DNS](dns.md)
-3. [Proxy pour les containers / VM](proxy_interne.md)
+3. [Proxy pour les conteneurs / VM](proxy_interne.md)
--- a/deploiement/sources/zone_dmz/ferm/dns_ferm.conf
+++ b/deploiement/sources/zone_dmz/ferm/dns_ferm.conf
@ -32,6 +32,10 @@
@def $UDP_OPEN_PORT_BACK_ACCESS = ();


+# Besoin de VRRP sur IF_VRRP
+@def $NEED_VRRP = 0; #0 pour NON 1 pour OUI
+@def $IF_VRRP = eth0;
+
 table filter {
    chain INPUT {
        policy DROP;
@ -44,6 +48,10 @@ table filter {
            interface $IF_FRONT proto tcp dport $OPEN_PORT_FRONT_REQUEST ACCEPT;
        }

+        @if $NEED_VRRP {
+            interface $IF_VRRP proto vrrp ACCEPT;
+        }
+
        @if $NEED_UDP_FRONT_REQUEST {
            interface $IF_FRONT proto udp dport $UDP_OPEN_PORT_FRONT_REQUEST ACCEPT;
        }
@ -71,6 +79,10 @@ table filter {
            outerface $IF_FRONT proto tcp dport $OPEN_PORT_FRONT_ACCESS ACCEPT;
        }

+        @if $NEED_VRRP {
+            outerface $IF_VRRP proto vrrp ACCEPT;
+        }
+
        @if $NEED_UDP_FRONT_ACCESS {
            outerface $IF_BACK proto udp dport $UDP_OPEN_PORT_FRONT_ACCESS ACCEPT;
        }
--- a/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh
+++ b/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh
@ -9,11 +9,12 @@ if [ "$(ip a | grep -c "10.0.0.8")" -ge 1 ]; then
  	then
  		other_ip=10.0.0.6
  fi
-	certbot renew
-	rm -rf /etc/ssl/letsencrypt/*
-	for domain in $(ls /etc/letsencrypt/live); do
-		  cat /etc/letsencrypt/live/$domain/privkey.pem /etc/letsencrypt/live/$domain/fullchain.pem > /etc/ssl/letsencrypt/$domain.pem
-	done
-	scp -r /etc/ssl/letsencrypt/* hasync@$other_ip:/etc/ssl/letsencrypt
-else
+  rm -f /etc/letsencrypt/live/README
+  rm -rf /etc/ssl/letsencrypt/*
+  for domain in $(ls /etc/letsencrypt/live); do
+      cat /etc/letsencrypt/live/$domain/privkey.pem /etc/letsencrypt/live/$domain/fullchain.pem > /etc/ssl/letsencrypt/$domain.pem
+  done
+  scp -r /etc/ssl/letsencrypt/* root@$ct_ip:/etc/ssl/letsencrypt
+  ssh root@$ct_ip 'service haproxy reload'
+  service haproxy reload
 fi
--- a/deploiement/sources/zone_proxy/ct_proxy.yml
+++ b/deploiement/sources/zone_proxy/ct_proxy.yml
@ -5,7 +5,7 @@
 # Gateway 10.0.2.0/24 -> 10.0.2.254
 # Gateway 10.1.0.0/24 -> 10.1.0.254

-# Créer les containers, les mets à jours, configure les mises à jours de sécurité automatique,
+# Créer les conteneurs, les mets à jours, configure les mises à jours de sécurité automatique,
 # installe des paquets utile et ceux des services, met en place ferm via notre template.

 - hosts: localhost
@ -61,7 +61,7 @@
        pubkey: "{{ ssh_pub }}"
        state: present

-    - name: Start Proxy containers
+    - name: Start Proxy container
      proxmox:
        api_user: root@pam
        api_password: "{{ pass_pve }}"
--- a/proxmox/securisation/template_ferm.md
+++ b/proxmox/securisation/template_ferm.md
@ -28,17 +28,17 @@ La template utilise des paramètres pour éviter d'avoir à modifier la configur
 - IF_BACK : Liste des interfaces secondaire, ne doit inclure ni l'interface administration ni les interfaces qui n'ont pas besoin de règles autre que DROP.

 #### Ports TCP ouverts
-HAVE_BACK_ACCESS : Doit accéder à des conteneurs qui sont sur des interfaces secondaires
-HAVE_BACK_REQUEST : Doit être accessible depuis des conteneurs qui sont sur des interfaces secondaires
-OPEN_PORT_FRONT : Liste des ports TCP à ouvrir en entrée sur l'interface principale
-OPEN_PORT_BACK_REQUEST : Liste des ports TCP à ouvrir en entrée sur les interfaces secondaires
-OPEN_PORT_BACK_ACCESS : Liste des ports TCP à ouvrir en sortie sur les interfaces secondaires
+- HAVE_BACK_ACCESS : Doit accéder à des conteneurs qui sont sur des interfaces secondaires
+- HAVE_BACK_REQUEST : Doit être accessible depuis des conteneurs qui sont sur des interfaces secondaires
+- OPEN_PORT_FRONT : Liste des ports TCP à ouvrir en entrée sur l'interface principale
+- OPEN_PORT_BACK_REQUEST : Liste des ports TCP à ouvrir en entrée sur les interfaces secondaires
+- OPEN_PORT_BACK_ACCESS : Liste des ports TCP à ouvrir en sortie sur les interfaces secondaires

 #### Ports UDP ouverts
-NEED_UDP_* : 0 si pas besoin d'ouvrir un port UDP 1 sinon
-UDP_OPEN_PORT_FRONT : Liste des ports UDP à ouvrir en entrée sur l'interface principale
-UDP_OPEN_PORT_BACK_ACCESS : Liste des ports UDP à ouvrir en sortie sur les interfaces secondaires
-UDP_OPEN_PORT_BACK_REQUEST : Liste des ports UDP à ouvrir en entrée sur les interfaces secondaires
+- NEED_UDP_* : 0 si pas besoin d'ouvrir un port UDP 1 sinon
+- UDP_OPEN_PORT_FRONT : Liste des ports UDP à ouvrir en entrée sur l'interface principale
+- UDP_OPEN_PORT_BACK_ACCESS : Liste des ports UDP à ouvrir en sortie sur les interfaces secondaires
+- UDP_OPEN_PORT_BACK_REQUEST : Liste des ports UDP à ouvrir en entrée sur les interfaces secondaires

 Les règles restrictives en sortie permettent d'éviter qu'un attaquant puisse accéder à tout le rester du réseau.

--- a/reseau/mise_en_place.md
+++ b/reseau/mise_en_place.md
@ -43,6 +43,8 @@ Switch Interne VLAN 30
 - Nginx Public Beta : 10.0.2.5
 - Mail Frontend : 10.0.2.10
 - Mail Backend : 10.0.2.11
+- Nextcloud : 10.0.2.20
+- Gitea : 10.0.2.21
 - [...]
 - Firewall Alpha : 10.0.2.250
 - Firewall Bêta : 10.0.2.251