coimbrap/projet_serveur_krkn
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Ortho

Browse Source
This commit is contained in:
Pierre Coimbra
2019-10-28 17:25:36 +01:00
parent 2a2e241dec
commit e7f2438ce5
13 changed files with 107 additions and 114 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
infra/README.md
View File

@@ -1,2 +1,2 @@
# Documentation du réseau de Kr[HACK]en
Vous trouverez ici toute la documentation relative à la mise configuration des interfaces réseau, du firewall. Ainsi que le schéma global de l'infrastructure réseau.
Vous trouverez ici toute la documentation relative à la configuration des interfaces réseau, du firewall ainsi que le schéma global de l'infrastructure réseau.

2
infra/infra_reseau_krkn
View File

@@ -43,4 +43,4 @@ XX X | Firewal
+--------------------------------------------------------------------------------------------------------------------------------+
Canal de communication
entre les deux hyperviseur
entre les deux hyperviseurs

3
infra/interfaces/README.md
View File

@@ -1,3 +1,2 @@
# Configuration des interfaces
Vous trouverez ici toute la documentation relative à la configuration des interfaces de chaqu'une des nodes.
Vous trouverez ici toute la documentation relative à la configuration des interfaces de chacune des nodes.

6
infra/interfaces/interfaces_alpha.md
View File

@@ -1,9 +1,9 @@
# Mise en place des interfaces de Alpha
Nous allons ici mettre en place toutes les interfaces de Alpha à l'exception du bridge entre Alpha et Beta et du multicast pour le corosync qui utiliserons respectivement _eth1_ et _eth2_
Ici, nous allons mettre en place toutes les interfaces de Alpha à l'exception du bridge entre Alpha et Beta et du multicast pour le corosync qui utiliseront respectivement _eth1_ et _eth2_
## Configuration des interfaces
Nous disposons de deux cartes réseau avec chaqu'une deux ports ethernet. Nous allons utiliser ici _eth0_ qui sera l'interface relié à internet.
Nous disposons de deux cartes réseau avec chacune deux ports ethernet. Nous allons utiliser ici _eth0_ qui sera l'interface reliée à internet.
### /etc/network/interfaces
```
@@ -41,4 +41,4 @@ iface vmbr2 inet static
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
```
Nous avons configuré les interfaces de Alpha. _vmbr0_ est un bridge sur _eth0_ et _vmbr1_ et _vmbr2_ sont des interfaces virtuelles géré avec shorewall.
Nous avons configuré les interfaces de Alpha. _vmbr0_ est un bridge sur _eth0_ et _vmbr1_ et _vmbr2_ sont des interfaces virtuelles gérées avec shorewall.

4
infra/interfaces/interfaces_beta.md
View File

@@ -1,6 +1,6 @@
# Mise en place des interfaces de Beta
Nous allons ici mettre en place toutes les interfaces de Beta à l'exception du bridge entre Alpha et Beta et du multicast pour le corosync qui utiliserons respectivement _eth0_ et _eth2_.
Ici, nous allons mettre en place toutes les interfaces de Beta à l'exception du bridge entre Alpha et Beta et du multicast pour le corosync qui utiliseront respectivement _eth0_ et _eth2_.
## Configuration des interfaces
Nous allons seulement mettre en place des interfaces virtuelles.
@@ -29,4 +29,4 @@ iface vmbr2 inet static
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
```
Nous avons configuré les interfaces de Beta. _vmbr1_ et _vmbr2_ sont des interfaces virtuelles géré avec shorewall.
Nous avons configuré les interfaces de Beta. _vmbr1_ et _vmbr2_ sont des interfaces virtuelles gérées avec shorewall.

6
infra/routage_alpha_beta.md
View File

@@ -1,6 +1,6 @@
# Mise en place d'un bridge de Alpha à Beta pour l'accès à internet
Nous allons ici mettre en place un bridge entre Alpha et Beta. Seul Alpha disposera d'une IP publique et d'un accès à internet. Alpha joura le rôle de routeur en fournissant à Beta un accès à internet à travers son firewall.
Ici, nous allons mettre en place un bridge entre Alpha et Beta. Seul Alpha disposera d'une IP publique et d'un accès à internet. Alpha jouera le rôle de routeur en fournissant à Beta un accès à internet à travers son firewall.
## Configuration des interfaces
Nous allons configurer la carte réseau eth1 sur Alpha et eth0 sur Beta pour mettre en place le bridge.
@@ -35,7 +35,7 @@ iface vmbr0 inet static
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
```
Nous avons maintenant un bridge entre Alpha et Beta. La configuration du firewall pour que le bridge soit opérationnel se trouve dans _infra/shorewall_
Nous avons maintenant un bridge entre Alpha et Beta. La configuration du firewall pour que le bridge soit opérationnel se trouve dans _infra/shorewall_

3
infra/shorewall/README.md
View File

@@ -1,3 +1,2 @@
# Configuration du Firewall
Vous trouverez ici toute la documentation relative à la configuration de Shorewall telle que décrite dans le schéma de l'infrastructure réseau.
Vous trouverez ici toute la documentation relative à la configuration de Shorewall telle que décrite dans le schéma de l'infrastructure réseau.

72
infra/shorewall/shorewall_alpha.md
View File

@@ -1,6 +1,6 @@
# Mise en place du firewall de Alpha
Nous avons une interface _eth1_ pour le routage de la connexion avec beta, une interface _eth2_ pour le corosync, une interface virtuelle _vmbr0_ qui bridge sur _eth0_ pour l'accès à internet et deux interfaces virtuelle _vmbr1_ et _vmbr2_ qui ne bridge pas vers l'extérieur, le bridge va se faire avec shorewall.
Nous avons une interface _eth1_ pour le routage de la connexion avec beta, une interface _eth2_ pour le corosync, une interface virtuelle _vmbr0_ qui bridge sur _eth0_ pour l'accès à internet et deux interfaces virtuelles _vmbr1_ et _vmbr2_ qui ne bridgent pas vers l'extérieur, le bridge va se faire avec Shorewall.
## Installation de Shorewall
```
@@ -16,31 +16,31 @@ Shorewall est maintenant installé
Garder le fichier d'origine
### /etc/shorewall/interfaces
Associations des interfaces du système avec les zones du parefeu
Associations des interfaces du système avec les zones du pare-feu
```
?FORMAT 2
#ZONE INTERFACE OPTIONS
int eth1 tcpflags,nosmurfs,bridge,logmartians,routefilter
coro eth2 tcpflags,nosmurfs,logmartians
net vmbr0 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
krkn vmbr1 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
ext vmbr2 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
int eth1 tcpflags,nosmurfs,bridge,logmartians,routefilter
coro eth2 tcpflags,nosmurfs,logmartians
net vmbr0 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
krkn vmbr1 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
ext vmbr2 tcpflags,nosmurfs,bridge,routefilter,logmartians,routeback
```
### /etc/shorewall/policy
Définition de la politique globale du pare-feu
```
#SOURCE DEST POLICY LOGLEVEL
$FW net ACCEPT
$FW int ACCEPT
$FW coro ACCEPT
krkn net ACCEPT
ext net ACCEPT
int net ACCEPT
$FW net ACCEPT
$FW int ACCEPT
$FW coro ACCEPT
krkn net ACCEPT
ext net ACCEPT
int net ACCEPT
ext krkn DROP info
net all DROP info
all all REJECT info
ext krkn DROP info
net all DROP info
all all REJECT info
```
@@ -55,38 +55,36 @@ Définition des exceptions aux règles définies dans le fichier policy
?SECTION UNTRACKED
?SECTION NEW
Invalid(DROP) net all tcp
Invalid(DROP) net all tcp
DNS(ACCEPT) $FW net
Ping(ACCEPT) all $FW
Ping(ACCEPT) all $FW
#Connexion SSH vers et depuis Beta et extérieur
SSH(ACCEPT) int $FW
SSH(ACCEPT) net all
SSH(ACCEPT) $FW int
SSH(ACCEPT) int $FW
SSH(ACCEPT) net all
SSH(ACCEPT) $FW int
#Nécessaire pour l'initialisation du corosync
ACCEPT coro $FW icmp
ACCEPT coro $FW icmp
ACCEPT $FW krkn icmp
ACCEPT $FW ext icmp
ACCEPT $FW net icmp
ACCEPT $FW krkn icmp
ACCEPT $FW ext icmp
ACCEPT $FW net icmp
ACCEPT krkn int tcp 80,443
ACCEPT krkn ext tcp 80,443
ACCEPT net $FW tcp 8006
ACCEPT krkn int tcp 80,443
ACCEPT krkn ext tcp 80,443
ACCEPT net $FW tcp 8006
```
### /etc/shorewall/snat
Configuration SNAT permettant de faire du "masquerading", ainsi les paquets qui sortent des CT LXC ont comme IP source, l'IP de l'interface externe _eth0_.
Configuration SNAT permettant de faire du "masquerading", ainsi les paquets qui sortent des containers ont comme IP source l'IP de l'interface externe _eth0_.
```
#ACTION SOURCE DEST
MASQUERADE vmbr1 vmbr0
MASQUERADE vmbr1 eth1
MASQUERADE vmbr2 vmbr0
MASQUERADE eth1 vmbr0
MASQUERADE vmbr1 vmbr0
MASQUERADE vmbr1 eth1
MASQUERADE vmbr2 vmbr0
MASQUERADE eth1 vmbr0
```
### /etc/shorewall/zones
Définition des zones et de leur type.
Définition des zones et de leurs types.
```
#ZONE TYPE
fw firewall
@@ -97,4 +95,4 @@ coro ipv4
int ipv4
```
Le firewall de Alpha est maintenant configuré comme décrit dans le shéma global du réseau.
Le firewall de Alpha est maintenant configuré comme décrit dans le schéma global du réseau.

45
infra/shorewall/shorewall_beta.md
View File

@@ -1,6 +1,6 @@
# Mise en place du firewall de Beta
Nous avons une interface _eth2_ pour le corosync, une interface virtuelle _vmbr0_ qui bridge sur _eth0_ pour l'accès à internet et deux interfaces virtuelle _vmbr1_ et _vmbr2_ qui ne bridge pas vers l'extérieur, le bridge va se faire avec shorewall.
Nous avons une interface _eth2_ pour le corosync, une interface virtuelle _vmbr0_ qui bridge sur _eth0_ pour l'accès à internet et deux interfaces virtuelles _vmbr1_ et _vmbr2_ qui ne bridgent pas vers l'extérieur, le bridge va se faire avec Shorewall.
## Installation de Shorewall
```
@@ -16,14 +16,14 @@ Shorewall est maintenant installé
Garder le fichier d'origine
## /etc/shorewall/interfaces
Associations des interfaces du système avec les zones du parefeu
Associations des interfaces du système avec les zones du pare-feu
```
?FORMAT 2
#ZONE INTERFACE OPTIONS
net vmbr0 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
krkn vmbr1 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
ext vmbr2 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
coro eth3 tcpflags,nosmurfs,logmartians
net vmbr0 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
krkn vmbr1 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
ext vmbr2 tcpflags,nosmurfs,routefilter,bridge,routeback,logmartians
coro eth3 tcpflags,nosmurfs,logmartians
```
### /etc/shorewall/policy
@@ -32,13 +32,13 @@ Définition de la politique globale du pare-feu
#SOURCE DEST POLICY LOGLEVEL RATE CONNLIMIT
$FW net ACCEPT
$FW coro ACCEPT
krkn net ACCEPT
$FW coro ACCEPT
krkn net ACCEPT
ext net ACCEPT
ext krkn DROP info
ext krkn DROP info
net all DROP info
all all REJECT info
all all REJECT info
```
@@ -53,35 +53,34 @@ Définition des exceptions aux règles définies dans le fichier policy
?SECTION UNTRACKED
?SECTION NEW
Invalid(DROP) net all tcp
Invalid(DROP) net all tcp
DNS(ACCEPT) $FW net
Ping(ACCEPT) all $FW
SSH(ACCEPT) net all
Ping(ACCEPT) all $FW
SSH(ACCEPT) net all
ACCEPT $FW krkn icmp
ACCEPT $FW krkn icmp
ACCEPT $FW ext icmp
ACCEPT $FW net icmp
ACCEPT krkn ext tcp 80,443
ACCEPT net $FW tcp 8006
ACCEPT krkn ext tcp 80,443
ACCEPT net $FW tcp 8006
```
### /etc/shorewall/snat
Configuration SNAT permettant de faire du "masquerading", ainsi les paquets qui sortent des CT LXC ont comme IP source, l'IP de l'interface externe _eth0_.
Configuration SNAT permettant de faire du "masquerading", ainsi les paquets qui sortent des containers ont comme IP source l'IP de l'interface externe _eth0_.
```
#ACTION SOURCE DEST
MASQUERADE vmbr1 vmbr0
MASQUERADE vmbr2 vmbr0
MASQUERADE vmbr1 vmbr0
MASQUERADE vmbr2 vmbr0
```
### /etc/shorewall/zones
Définition des zones et de leur type.
Définition des zones et de leurs types.
```
#ZONE TYPE
fw firewall
net ipv4
krkn ipv4
krkn ipv4
ext ipv4
coro ipv4
```
Le firewall de Beta est maintenant configuré comme décrit dans le shéma global du réseau.
Le firewall de Beta est maintenant configuré comme décrit dans le schéma global du réseau.