From 501c84ce42a02f2794922d6147da696121c18a51 Mon Sep 17 00:00:00 2001
From: Pierre Coimbra <pierre.coimbra@libmail.eu>
Date: Thu, 5 Mar 2020 07:21:54 +0100
Subject: [PATCH] =?UTF-8?q?Corrections=20et=20mise=20=C3=A0=20jour?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 applicatif/zone_dmz/README.md                  |  2 +-
 .../sources/zone_dmz/ferm/dns_ferm.conf        | 12 ++++++++++++
 .../zone_dmz/script_haproxy_deploy_cert.sh     | 15 ++++++++-------
 deploiement/sources/zone_proxy/ct_proxy.yml    |  4 ++--
 proxmox/securisation/template_ferm.md          | 18 +++++++++---------
 reseau/mise_en_place.md                        |  2 ++
 6 files changed, 34 insertions(+), 19 deletions(-)

diff --git a/applicatif/zone_dmz/README.md b/applicatif/zone_dmz/README.md
index 97ed491..3b970a2 100644
--- a/applicatif/zone_dmz/README.md
+++ b/applicatif/zone_dmz/README.md
@@ -26,4 +26,4 @@ Pour Squid
 # Table des matières
 1. [HAProxy](haproxy.md)
 2. [Serveur DNS](dns.md)
-3. [Proxy pour les containers / VM](proxy_interne.md)
+3. [Proxy pour les conteneurs / VM](proxy_interne.md)
diff --git a/deploiement/sources/zone_dmz/ferm/dns_ferm.conf b/deploiement/sources/zone_dmz/ferm/dns_ferm.conf
index b71907b..87f9f6f 100644
--- a/deploiement/sources/zone_dmz/ferm/dns_ferm.conf
+++ b/deploiement/sources/zone_dmz/ferm/dns_ferm.conf
@@ -32,6 +32,10 @@
 @def $UDP_OPEN_PORT_BACK_ACCESS = ();
 
 
+# Besoin de VRRP sur IF_VRRP
+@def $NEED_VRRP = 0; #0 pour NON 1 pour OUI
+@def $IF_VRRP = eth0;
+
 table filter {
     chain INPUT {
         policy DROP;
@@ -44,6 +48,10 @@ table filter {
             interface $IF_FRONT proto tcp dport $OPEN_PORT_FRONT_REQUEST ACCEPT;
         }
 
+        @if $NEED_VRRP {
+            interface $IF_VRRP proto vrrp ACCEPT;
+        }
+
         @if $NEED_UDP_FRONT_REQUEST {
             interface $IF_FRONT proto udp dport $UDP_OPEN_PORT_FRONT_REQUEST ACCEPT;
         }
@@ -71,6 +79,10 @@ table filter {
             outerface $IF_FRONT proto tcp dport $OPEN_PORT_FRONT_ACCESS ACCEPT;
         }
 
+        @if $NEED_VRRP {
+            outerface $IF_VRRP proto vrrp ACCEPT;
+        }
+
         @if $NEED_UDP_FRONT_ACCESS {
             outerface $IF_BACK proto udp dport $UDP_OPEN_PORT_FRONT_ACCESS ACCEPT;
         }
diff --git a/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh b/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh
index ffa8980..8fb08ea 100644
--- a/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh
+++ b/deploiement/sources/zone_dmz/script_haproxy_deploy_cert.sh
@@ -9,11 +9,12 @@ if [ "$(ip a | grep -c "10.0.0.8")" -ge 1 ]; then
   	then
   		other_ip=10.0.0.6
   fi
-	certbot renew
-	rm -rf /etc/ssl/letsencrypt/*
-	for domain in $(ls /etc/letsencrypt/live); do
-		  cat /etc/letsencrypt/live/$domain/privkey.pem /etc/letsencrypt/live/$domain/fullchain.pem > /etc/ssl/letsencrypt/$domain.pem
-	done
-	scp -r /etc/ssl/letsencrypt/* hasync@$other_ip:/etc/ssl/letsencrypt
-else
+  rm -f /etc/letsencrypt/live/README
+  rm -rf /etc/ssl/letsencrypt/*
+  for domain in $(ls /etc/letsencrypt/live); do
+      cat /etc/letsencrypt/live/$domain/privkey.pem /etc/letsencrypt/live/$domain/fullchain.pem > /etc/ssl/letsencrypt/$domain.pem
+  done
+  scp -r /etc/ssl/letsencrypt/* root@$ct_ip:/etc/ssl/letsencrypt
+  ssh root@$ct_ip 'service haproxy reload'
+  service haproxy reload
 fi
diff --git a/deploiement/sources/zone_proxy/ct_proxy.yml b/deploiement/sources/zone_proxy/ct_proxy.yml
index 6337879..4eabfb2 100644
--- a/deploiement/sources/zone_proxy/ct_proxy.yml
+++ b/deploiement/sources/zone_proxy/ct_proxy.yml
@@ -5,7 +5,7 @@
 # Gateway 10.0.2.0/24 -> 10.0.2.254
 # Gateway 10.1.0.0/24 -> 10.1.0.254
 
-# Créer les containers, les mets à jours, configure les mises à jours de sécurité automatique,
+# Créer les conteneurs, les mets à jours, configure les mises à jours de sécurité automatique,
 # installe des paquets utile et ceux des services, met en place ferm via notre template.
 
 - hosts: localhost
@@ -61,7 +61,7 @@
         pubkey: "{{ ssh_pub }}"
         state: present
 
-    - name: Start Proxy containers
+    - name: Start Proxy container
       proxmox:
         api_user: root@pam
         api_password: "{{ pass_pve }}"
diff --git a/proxmox/securisation/template_ferm.md b/proxmox/securisation/template_ferm.md
index b2e01de..9b00edd 100644
--- a/proxmox/securisation/template_ferm.md
+++ b/proxmox/securisation/template_ferm.md
@@ -28,17 +28,17 @@ La template utilise des paramètres pour éviter d'avoir à modifier la configur
 - IF_BACK : Liste des interfaces secondaire, ne doit inclure ni l'interface administration ni les interfaces qui n'ont pas besoin de règles autre que DROP.
 
 #### Ports TCP ouverts
-HAVE_BACK_ACCESS : Doit accéder à des conteneurs qui sont sur des interfaces secondaires
-HAVE_BACK_REQUEST : Doit être accessible depuis des conteneurs qui sont sur des interfaces secondaires
-OPEN_PORT_FRONT : Liste des ports TCP à ouvrir en entrée sur l'interface principale
-OPEN_PORT_BACK_REQUEST : Liste des ports TCP à ouvrir en entrée sur les interfaces secondaires
-OPEN_PORT_BACK_ACCESS : Liste des ports TCP à ouvrir en sortie sur les interfaces secondaires
+- HAVE_BACK_ACCESS : Doit accéder à des conteneurs qui sont sur des interfaces secondaires
+- HAVE_BACK_REQUEST : Doit être accessible depuis des conteneurs qui sont sur des interfaces secondaires
+- OPEN_PORT_FRONT : Liste des ports TCP à ouvrir en entrée sur l'interface principale
+- OPEN_PORT_BACK_REQUEST : Liste des ports TCP à ouvrir en entrée sur les interfaces secondaires
+- OPEN_PORT_BACK_ACCESS : Liste des ports TCP à ouvrir en sortie sur les interfaces secondaires
 
 #### Ports UDP ouverts
-NEED_UDP_* : 0 si pas besoin d'ouvrir un port UDP 1 sinon
-UDP_OPEN_PORT_FRONT : Liste des ports UDP à ouvrir en entrée sur l'interface principale
-UDP_OPEN_PORT_BACK_ACCESS : Liste des ports UDP à ouvrir en sortie sur les interfaces secondaires
-UDP_OPEN_PORT_BACK_REQUEST : Liste des ports UDP à ouvrir en entrée sur les interfaces secondaires
+- NEED_UDP_* : 0 si pas besoin d'ouvrir un port UDP 1 sinon
+- UDP_OPEN_PORT_FRONT : Liste des ports UDP à ouvrir en entrée sur l'interface principale
+- UDP_OPEN_PORT_BACK_ACCESS : Liste des ports UDP à ouvrir en sortie sur les interfaces secondaires
+- UDP_OPEN_PORT_BACK_REQUEST : Liste des ports UDP à ouvrir en entrée sur les interfaces secondaires
 
 Les règles restrictives en sortie permettent d'éviter qu'un attaquant puisse accéder à tout le rester du réseau.
 
diff --git a/reseau/mise_en_place.md b/reseau/mise_en_place.md
index e9c5be0..ebaab1b 100644
--- a/reseau/mise_en_place.md
+++ b/reseau/mise_en_place.md
@@ -43,6 +43,8 @@ Switch Interne VLAN 30
 - Nginx Public Beta : 10.0.2.5
 - Mail Frontend : 10.0.2.10
 - Mail Backend : 10.0.2.11
+- Nextcloud : 10.0.2.20
+- Gitea : 10.0.2.21
 - [...]
 - Firewall Alpha : 10.0.2.250
 - Firewall Bêta : 10.0.2.251