Filtrate de l'acces a l'interface adm de zamok depuis zamok, REJECT https en connexion de secours

Ignore-this: caab4053a2a381e33aaca8c0f29e3180

darcs-hash:20120822043208-3a55a-ca31d22a2d88b32d14836809d6e048da7716b0f1.gz

gestion/gen_confs/firewall_new.py

@@ -512,7 +512,6 @@ class firewall_komaz(firewall_crans) :
         
         #connection de secours
         iptables("-t mangle -A PREROUTING -p tcp -s 138.231.136.0/16 ! -d 138.231.136.0/16 --destination-port 80 -m condition --condition secours -j MARK --set-mark %s" % (conf_fw.mark['secours']))
-        iptables("-t mangle -A PREROUTING -p tcp -s 138.231.136.0/16 ! -d 138.231.136.0/16 --destination-port 433 -m condition --condition secours -j MARK --set-mark %s" % (conf_fw.mark['secours']))
         iptables("-t mangle -A PREROUTING -m mark --mark %s -j ACCEPT" % conf_fw.mark['secours'])
 
         # Parametres pour iptables/tc
@@ -697,6 +696,8 @@ class firewall_komaz(firewall_crans) :
         iptables("-A FORWARD -m mark --mark %s -j ACCEPT" % conf_fw.mark['proxy'])
         
         #Connection de secours
+        # on ne peut pas faire passer https dans un proxy transparent sans faire de man in the middle et sans recompiler squid
+        iptables("-A FORWARD -p tcp -s 138.231.136.0/16 ! -d 138.231.136.0/16 --destination-port 443 -m condition --condition secours -j REJECT") 
         iptables("-A FORWARD -m mark --mark %s -j ACCEPT" % conf_fw.mark['secours'])
 
         iptables("-P FORWARD ACCEPT")
@@ -1216,6 +1217,7 @@ class firewall_zamok(firewall_crans) :
         # <!> à placer dans filter
         #for net in NETs['fil'] + NETs['adm'] + NETs['wifi'] :
         #    iptables("-t nat -A PREROUTING -s %s -j TEST_MAC-IP" % net)
+        iptables("-t filter -A OUTPUT -d 10.231.136.1 -j SERV_OUT_ADM") # moche mais visiblement ont avait acces a l'interface adm de zamok depuis zamok
         iptables("-t filter -A OUTPUT -o lo -j ACCEPT")
 
         # pour une connection entrante venant du VLAN adm, il faut que le ACK