Pare-feu + Syntaxe

2020-05-02 15:00:13 +02:00
parent 6df6fca32b
commit f5a763086c
11 changed files with 126 additions and 39 deletions
--- a/applicatif/zone_wan/opnsense/regles_pare_feu.md
+++ b/applicatif/zone_wan/opnsense/regles_pare_feu.md
@@ -0,0 +1,87 @@
+# Règles du pare-feu
+
+Ces règles sont à faire sur le firewall de Alpha, elles seront automatiquement répliquées sur Beta.
+
+Nous avons déjà mis en place les règles de NAT dans la configuration initiale. Nous allons maintenant nous occuper le définir et de mettre en place les règles pour les communications entre VLAN.
+
+### Table de routage inter-VLAN
+
+Doit être lu de la manière suivante :
+
+- Les colonnes peuvent communiquer avec les lignes. 
+- Exemple : ADMIN peut communiquer avec DMZ mais l'inverse est impossible.
+
+|             | WAN  | DMZ  | PROXY | INTERNE | CTF  | DIRTY | ADMIN |
+| ----------- | :--: | :--: | :---: | :-----: | :--: | :---: | :---: |
+| **WAN**     |  X   |  X   |       |         |      |       |       |
+| **DMZ**     |      |  X   |   X   |    X    |  X   |       |   X   |
+| **PROXY**   |      |  X   |   X   |         |      |       |   X   |
+| **INTERNE** |      |      |   X   |    X    |      |       |   X   |
+| **CTF**     |      |  X   |       |         |  X   |       |   X   |
+| **DIRTY**   |      |      |       |         |      |   X   |   X   |
+| **ADMIN**   |      |      |       |         |      |       |   X   |
+
+Ces communications restreintes à quelques IP et quelques port que nous allons détaillé par la suite.
+
+
+
+Nomenclature générale d'une règle type 1 :
+
+```
+Interface : ZONE
+Protocole : TCP
+Source : Hôte unique ou Réseau - <IP du conteneur source>/32
+Destination :  Hôte unique ou Réseau - <IP du conteneur destination>/32
+Plage de ports de destination : Port nécessaire (Pas de plage)
+Description : Celle donnée dans le descriptif
+```
+
+Nomenclature générale d'une règle type 2 :
+
+```
+Interface : ZONE
+Protocole : TCP ou TCP/UDP pour le DNS ou ICMP
+Source : Hôte unique ou Réseau - <IP du conteneur source>/32
+Destination :  Hôte unique ou Réseau - 10.0.0.0/8
+Plage de ports de destination : any
+Description : Celle donnée dans le descriptif
+```
+
+### Règles DMZ
+
+HAProxy désigne les deux conteneurs HAProxy.
+
+- Accès à OPN depuis HAProxy (type 1) - Port : 443
+- Accès à PVE depuis HAProxy (type 1) - Port : 443
+- Accès à NGINX Alpha depuis HAProxy (type 1) - Port : 80
+- Accès à NGINX Bêta depuis HAProxy (type 1) - Port : 80
+- Accès à NGINX CTF depuis HAProxy (type 1) - Port : 80
+- Accès à l'extérieur depuis le proxy (type 2) - TCP
+- Accès à l'extérieur depuis le DNS (type 2) - TCP/UDP 
+
+### Règles PROXY
+
+- Accès au serveur web interne depuis PROXY (type 1) - Port 80 - Destination : INTERNE net
+
+### Règles ADMIN
+
+- ICMP depuis la zone ADMIN vers tout (type 2) - Protocole : ICMP - Source : ADMIN net
+- TCP/UDP depuis la zone ADMIN vers tout (type 2) - Protocole : TCP/UDP - Source : ADMIN net
+
+### Règles Flottant
+
+Nomenclature générale d'une règle flottant :
+
+```
+Interface : ADMIN, DMZ, PROXY, INTERNE, CTF, DIRTY
+Protocole : TCP
+Source : Hôte unique ou Réseau - 10.0.0.0/8
+Destination :  Hôte unique ou Réseau - <IP du conteneur destination>/32
+Plage de ports de destination : Port nécessaire (Pas de plage)
+Description : Celle donnée dans le descriptif
+```
+
+- Accès depuis toutes les zones au Proxy Interne (Squid) - Port : 3128
+- Accès depuis toutes les zones au Proxy Interne (Apt-Cacher) - Port : 9999
+- Accès depuis toutes les zones au DNS - Port : 53 (TCP/UDP)
+