diff --git a/gestion/gen_confs/firewall.py b/gestion/gen_confs/firewall.py index 02bf8e1e..4c81f5eb 100644 --- a/gestion/gen_confs/firewall.py +++ b/gestion/gen_confs/firewall.py @@ -1,15 +1,15 @@ #!/usr/bin/env python -# -*- coding: iso-8859-1 -*- +# -*- coding: utf-8 -*- # The authors of this code are # Manuel Sabban -# Frédéric Pauget +# Frédéric Pauget # Mathieu Segaud # Nicolas Salles # # Rewritten as inherited classes from firewall_crans # by Mathieu Segaud # -# Copyright (c) 2004 Manuel Sabban, Frédéric Pauget +# Copyright (c) 2004 Manuel Sabban, Frédéric Pauget # Copyright (c) 2005 Mathieu Segaud # Copyright (c) 2006 Nicolas Salles # @@ -82,7 +82,7 @@ def redirect_chain(table, chain_in, chain_out, ip) : iptables("-t %s -N %s" % (table, chain_out)) except IptablesError: iptables("-t %s -F %s" % (table, chain_out)) - # On redirige les paquets de la chaîne in dans la chaîne out + # On redirige les paquets de la chaîne in dans la chaîne out iptables("-t %s -A %s -o ens -s %s -j %s" % (table, chain_in, ip, chain_out)) iptables("-t %s -A %s -o crans -d %s -j %s" % (table, chain_in, ip, chain_out)) @@ -90,21 +90,21 @@ def redirect_chain(table, chain_in, chain_out, ip) : class firewall_crans : """ Classe parente pour les firewalls du crans - Implémentée directement à partir du firewall de komaz, initialement - écrit par Manuel Sabban et Frédéric Pauget. + Implémentée directement à partir du firewall de komaz, initialement + écrit par Manuel Sabban et Frédéric Pauget. - * les méthodes à surcharger pour l'implémentation eme des firewall - sont mangle_table, nat_table, filter_table, pour la préparation + * les méthodes à surcharger pour l'implémentation eme des firewall + sont mangle_table, nat_table, filter_table, pour la préparation du fw, start_fw_funcs pour la mise en place du filtrage. * serveurs_maj, adh_maj_list_to_do et serveurs_maj_list_to_do, pour la mise en place de la MAC-IP. en particulier, adh_maj_list_to_do et serveurs_maj_list_to_do - sont factorisées pour la simple et bonne raison que les sources - de la liste to_do originale ne seront pas forcément identiques + sont factorisées pour la simple et bonne raison que les sources + de la liste to_do originale ne seront pas forcément identiques (c'est un peu sale...) - * la classe parente contient à peu de choses prés tout ce qu'il + * la classe parente contient à peu de choses prés tout ce qu'il faut pour mettre en place un fw basique n'effectuant que la verif MAC-IP. """ @@ -119,7 +119,7 @@ class firewall_crans : debug = 1 def exception_catcher(self,tache) : - """ Exécute la tache founie en gérant les diverses exceptions + """ Exécute la tache founie en gérant les diverses exceptions pouvant survenir Retourne 1 en cas d'erreur et 0 sinon """ try : @@ -146,7 +146,7 @@ class firewall_crans : def __del__(self) : """ Destruction du lock """ - # Comprend pas pourquoi il faut réimporter ici -- Fred + # Comprend pas pourquoi il faut réimporter ici -- Fred from lock import remove_lock remove_lock('firewall') @@ -180,16 +180,16 @@ class firewall_crans : return def restart(self): - """ Rédémarrage du firewall """ - cprint(u'Redémarrage firewall', 'gras') + """ Rédémarrage du firewall """ + cprint(u'Redémarrage firewall', 'gras') self.start(False) def start(self,aff_txt_intro=True) : """ Construction du firewall - aff_txt_intro s'occupe uniquement de l'esthétisme + aff_txt_intro s'occupe uniquement de l'esthétisme """ - if aff_txt_intro: cprint(u'Démarrage firewall', 'gras') - # Préliminaires + if aff_txt_intro: cprint(u'Démarrage firewall', 'gras') + # Préliminaires if not self.__machines() or self.exception_catcher(self.__stop) : cprint(u"Abandon", 'rouge') return @@ -205,17 +205,17 @@ class firewall_crans : # On peux router self.post_start_hook() - cprint(u"\t -> fin de la procédure de démarrage",'vert') + cprint(u"\t -> fin de la procédure de démarrage",'vert') def stop(self): - """ Arrête le firewall """ - cprint(u"Arrêt du firewall", 'gras') + """ Arrête le firewall """ + cprint(u"Arrêt du firewall", 'gras') self.pre_stop_hook() self.exception_catcher(self.__stop) - cprint(u"\t -> fin de la procédure d'arrêt",'vert') + cprint(u"\t -> fin de la procédure d'arrêt",'vert') def __stop(self) : - self.anim = anim("\tSuppression des règles") + self.anim = anim("\tSuppression des règles") iptables("-t nat -P PREROUTING ACCEPT") iptables("-F") iptables("-t nat -F") @@ -227,8 +227,8 @@ class firewall_crans : def test_mac_ip(self) : - """ Reconstruit la correspondance MAC-IP des machines des adhérents """ - self.anim = anim('\tChaîne TEST_MAC-IP',len(self.__machines())+1) + """ Reconstruit la correspondance MAC-IP des machines des adhérents """ + self.anim = anim('\tChaîne TEST_MAC-IP',len(self.__machines())+1) iptables("-t nat -P PREROUTING ACCEPT") iptables("-t nat -F TEST_MAC-IP") self.anim.cycle() @@ -276,10 +276,10 @@ class firewall_crans : pass def port_maj(self,ip_list) : - """ Mise à jour des ports pour les ip fournies """ - # Note : système bourrin (on efface les chaînes et on refait) - # mais rapide et efficace (si qqn veut se casser le cul à - # un système aussi délicat que pour la correspondance MAC-IP...) + """ Mise à jour des ports pour les ip fournies """ + # Note : système bourrin (on efface les chaînes et on refait) + # mais rapide et efficace (si qqn veut se casser le cul à + # un système aussi délicat que pour la correspondance MAC-IP...) # -- Fred serveur_maj = False adh_maj = False @@ -298,11 +298,11 @@ class firewall_crans : self.exception_catcher(self.adh_maj_list_to_do) def mac_ip_maj(self,ip_list) : - """ Mise à jour de la correspondance MAC-IP pour les ip fournies """ + """ Mise à jour de la correspondance MAC-IP pour les ip fournies """ ## Que faut-il faire ? - self.anim = anim('\tAnalyse du travail à effectuer') + self.anim = anim('\tAnalyse du travail à effectuer') if ip_list == [''] : - print OK + ' (rien à faire)' + print OK + ' (rien à faire)' return mac_ip_maj = {} @@ -317,10 +317,10 @@ class firewall_crans : mac_ip_maj[ip] = None elif len(machine) == 1 : - # Mise à jour de la machine + # Mise à jour de la machine if AddrInNet(ip,self.zone_serveur) : serveur_maj = True - # Il faut avoir payé ou être une machine du crans + # Il faut avoir payé ou être une machine du crans if db.search('paiement=ok&ip=%s'% ip)['machine'] or \ machine[0].proprietaire().__class__ == AssociationCrans: mac_ip_maj[ip] = machine[0] @@ -346,32 +346,32 @@ class firewall_crans : for regle in iptables("-t nat -L TEST_MAC-IP -n").split('\n')[2:] : regle = regle.split() if regle[0] == 'DROP': - # On est arrivé à la fin de la liste + # On est arrivé à la fin de la liste break ip = regle[3] mac = regle[6].lower() if ip in mac_ip_maj.keys() : - # La règle correspond à une ip à mettre à jour + # La règle correspond à une ip à mettre à jour machine = mac_ip_maj[ip] try: if not machine : - # Il faut détruire cette entrée + # Il faut détruire cette entrée iptables("-t nat -D TEST_MAC-IP -s %s -m mac --mac-source %s -j RETURN" % (ip, mac)) else : if (isinstance(machine, MachineWifi) and mac != mac_wifi) \ or (not isinstance(machine, MachineWifi) and mac != machine.mac()): - # La correspondance MAC-IP est fausse => on ajoute la bonne règle + # La correspondance MAC-IP est fausse => on ajoute la bonne règle self.__test_mac_ip(machine) # Supression de l'ancienne ligne iptables("-t nat -D TEST_MAC-IP -s %s -m mac --mac-source %s -j RETURN" % (ip, mac)) - # Toutes les autres occurences devront être détruites + # Toutes les autres occurences devront être détruites mac_ip_maj[ip]=None except IptablesError, c: warn += str(c) + '\n' - # Ajout des machines qui n'étaient pas dans le firewall + # Ajout des machines qui n'étaient pas dans le firewall for machine in mac_ip_maj.values() : if machine : self.__test_mac_ip(machine) @@ -384,9 +384,9 @@ class firewall_crans : self.exception_catcher(procedure) def build_chaine_adherent(self,chaine,methode) : - # On construit d'abord les autorisations particulières + # On construit d'abord les autorisations particulières if not self.build_chaine(chaine, methode) : - # Puis si pas de problèmes les autorisations par défaut + # Puis si pas de problèmes les autorisations par défaut self.anim.reinit() for proto in [ 'tcp' , 'udp' ] : for port in self.ports_default["%s_%s" % ( proto, chaine) ] : @@ -396,7 +396,7 @@ class firewall_crans : print OK def build_chaine(self,chaine, methode) : - self.anim = anim('\tChaîne %s' % chaine,len(self.__machines())+1) + self.anim = anim('\tChaîne %s' % chaine,len(self.__machines())+1) iptables("-F %s" % chaine) self.anim.cycle() def procedure() : @@ -415,22 +415,22 @@ class firewall_komaz(firewall_crans) : """ Structure du firewall : table mangle : - PREROUTING (policy par défaut : ACCEPT) + PREROUTING (policy par défaut : ACCEPT) 1) proxy transparent 2) marquage des paquets bittorrent - POSTROUTING (policy par défaut : ACCEPT) - 1) passage dans un sous-réseau de l'ip crans : SUBNET + POSTROUTING (policy par défaut : ACCEPT) + 1) passage dans un sous-réseau de l'ip crans : SUBNET - SUBNET classe pour chaque ip de son réseau dans la classe htb correspondante + SUBNET classe pour chaque ip de son réseau dans la classe htb correspondante table nat : - PREROUTING (policy par défaut : ACCEPT) + PREROUTING (policy par défaut : ACCEPT) 1) passage par TEST_VIRUS_FLOOD pour tout ce qui n'est pas dans zone_serveur 2) passage dans RESEAUX_NON_ROUTABLES_DST - 3) passage est paquets venant de l'extérieur dans RESEAUX_NON_ROUTABLES_SRC + 3) passage est paquets venant de l'extérieur dans RESEAUX_NON_ROUTABLES_SRC 4) on laisse passer vers filter les paquets suivants : source ou destination les serveurs de serveurs_crans - ce qui vient de l'extérieur + ce qui vient de l'extérieur 5) passage par TEST_MAC-IP TEST_VIRUS_FLOOD droppe les paquets contenant des virus ou les paquets de flood @@ -439,18 +439,18 @@ class firewall_komaz(firewall_crans) : TEST_MAC-IP envoi les bon paquets vers CRANS_VERS_EXT table filter : - FORWARD (policy par défaut : ACCEPT) + FORWARD (policy par défaut : ACCEPT) 1) passage par BLACKLIST 2) passage par FILTRE_P2P (ACCEPT sur le trafic de filtres_p2p, REJECT sur le trafic de - filtres_p2p_bloq, sanctions gérées par déconnexion.py) - 3) ce qui a pour source les serveurs de serveurs_crans est dirigé vers SERVEURS_VERS_EXT - 4) ce qui a pour destination les serveurs de serveurs_crans est dirigé EXT_VERS_SERVEURS - 5) tout ce qui vient de l'interface externe est dirigé vers EXT_VERS_CRANS - 6) ce qui a pour source les serveurs de serveurs_crans est dirigé vers EXT_VERS_CRANS + filtres_p2p_bloq, sanctions gérées par déconnexion.py) + 3) ce qui a pour source les serveurs de serveurs_crans est dirigé vers SERVEURS_VERS_EXT + 4) ce qui a pour destination les serveurs de serveurs_crans est dirigé EXT_VERS_SERVEURS + 5) tout ce qui vient de l'interface externe est dirigé vers EXT_VERS_CRANS + 6) ce qui a pour source les serveurs de serveurs_crans est dirigé vers EXT_VERS_CRANS - BLACKLIST fitre des ip blacklistées (REJECT) - FILTRE_P2P filtre le traffic de p2p : logging des paquets matchés par les protocoles de filtres_p2p - rejet des paquets matchés par les protocoles de filtres_p2p_bloq au dessus de la limite + BLACKLIST fitre des ip blacklistées (REJECT) + FILTRE_P2P filtre le traffic de p2p : logging des paquets matchés par les protocoles de filtres_p2p + rejet des paquets matchés par les protocoles de filtres_p2p_bloq au dessus de la limite EXT_VERS_CRANS et CRANS_VERS_EXT ACCEPT pour les paquets vers les machines du crans (test port-ip) REJECT pour le reste @@ -508,7 +508,7 @@ class firewall_komaz(firewall_crans) : def mangle_table(self): self.anim = anim('\tStructure de la table mangle') - # On vide complètement la table + # On vide complètement la table iptables("-t mangle -F") iptables("-t mangle -X") @@ -527,7 +527,7 @@ class firewall_komaz(firewall_crans) : eth_ext = self.eth_ext eth_int = self.eth_int - # Classification du traffic : extérieur <-> ftp + # Classification du traffic : extérieur <-> ftp iptables("-t mangle -A POSTROUTING -o %(eth_int)s -d 136.231.136.10 " "-j CLASSIFY --set-class 1:9997" % locals()) iptables("-t mangle -A POSTROUTING -o %(eth_ext)s -s 136.231.136.10 " @@ -546,14 +546,14 @@ class firewall_komaz(firewall_crans) : warn = '' - # Par défaut, on envoit les paquets dans la classe 9998 + # Par défaut, on envoit les paquets dans la classe 9998 for net in NETs['all']: iptables("-t mangle -A POSTROUTING -o %(eth_int)s -d %(net)s " "-j CLASSIFY --set-class 1:9998" % locals()) iptables("-t mangle -A POSTROUTING -o %(eth_ext)s -s %(net)s " "-j CLASSIFY --set-class 1:9998" % locals()) - # On crée les chaînes de sous-réseaux + # On crée les chaînes de sous-réseaux for net in NETs['all']: for mask in conf_fw.mask: for subnet in NetSubnets(net, mask): @@ -569,9 +569,9 @@ class firewall_komaz(firewall_crans) : print OK adherents = db.search('paiement=ok')['adherent'] - self.anim = anim('\tGénération des classes de filtrage p2p', len(adherents)) + self.anim = anim('\tGénération des classes de filtrage p2p', len(adherents)) - # Création des classes et qdisc + # Création des classes et qdisc # for interface in [eth_ext, eth_int]: # On vide les classes et qdisc # try: @@ -579,7 +579,7 @@ class firewall_komaz(firewall_crans) : # except TcError, c: # warn += str(c) + '\n' # # On construit les classes et qdisc de base -# # La partie principale qui définit le comportement par défaut +# # La partie principale qui définit le comportement par défaut # tc("qdisc add dev %(interface)s root handle 1: htb r2q 1" % locals()) # tc("class add dev %(interface)s parent 1: classid 1:1 " # "htb rate %(debit_max)s ceil %(debit_max)s" % locals()) @@ -593,12 +593,12 @@ class firewall_komaz(firewall_crans) : # tc("qdisc add dev %(interface)s parent 1:9997 " # "handle 9997: sfq perturb 10" % locals()) # -# # On construit ensuite les classes et qdisc pour chaque adhérent +# # On construit ensuite les classes et qdisc pour chaque adhérent # for adherent in adherents: # self.anim.cycle() -# # On ne peut pas reprendre le numéro 1 +# # On ne peut pas reprendre le numéro 1 # class_id = int(adherent.id()) + 1 -# # Il nous faut un n° inférieur à 9999 unique +# # Il nous faut un n° inférieur à 9999 unique # qdisc_id = class_id # for interface in [self.eth_ext, self.eth_int]: # tc("class add dev %(interface)s parent 1:1 classid 1:%(class_id)d " @@ -606,7 +606,7 @@ class firewall_komaz(firewall_crans) : # tc("qdisc add dev %(interface)s parent 1:%(class_id)d " # "handle %(qdisc_id)d: sfq perturb 10" % locals()) # -# # Classification des adhérents dans leur classe respective +# # Classification des adhérents dans leur classe respective # for machine in adherent.machines(): # ip = machine.ip() # if not AddrInNet(ip, NETs['all']): @@ -622,10 +622,10 @@ class firewall_komaz(firewall_crans) : # | QOS pour le ftp | # +-----------------+ - # On ne veut pas que les gens à l'éxtérieur bouffe toute la + # On ne veut pas que les gens à l'éxtérieur bouffe toute la # bande passante. - # Classification des paquets à destination du ftp + # Classification des paquets à destination du ftp iptables("-t mangle -A POSTROUTING -o %(eth_int)s -p tcp -d 136.231.136.10 --dport 21 " "-j CLASSIFY --set-class 1:9997" % locals()) @@ -661,7 +661,7 @@ class firewall_komaz(firewall_crans) : print OK def filter_table_tweaks(self) : - self.anim = anim('\tRègles spécifiques à komaz') + self.anim = anim('\tRègles spécifiques à komaz') for chaine in [ 'ADMIN_VLAN', 'EXT_VERS_SERVEURS', 'SERVEURS_VERS_EXT' , 'EXT_VERS_CRANS', 'CRANS_VERS_EXT', 'BLACKLIST_SRC', 'BLACKLIST_DST' , 'FILTRE_P2P', 'INGRESS_FILTERING' ] : iptables('-N %s' % chaine) iptables("-A FORWARD -i lo -j ACCEPT") @@ -687,21 +687,21 @@ class firewall_komaz(firewall_crans) : print OK def classes_p2p_maj(self, ip_list): - """ Mise à jour de la classification pour les ip fournies - On ne crée que les règles iptables pour classer les paquets, les - classes correspondantes ne sont à créer que toutes à la fois """ + """ Mise à jour de la classification pour les ip fournies + On ne crée que les règles iptables pour classer les paquets, les + classes correspondantes ne sont à créer que toutes à la fois """ ## Que faut-il faire ? - self.anim = anim('\tAnalyse du travail à effectuer') + self.anim = anim('\tAnalyse du travail à effectuer') if ip_list == ['']: - print OK + ' (rien à faire)' + print OK + ' (rien à faire)' return print OK ## Traitement - # MAJ des règles de classification de l'IP + # MAJ des règles de classification de l'IP def procedure(): - self.anim = anim('\tMise à jour des classes p2p') + self.anim = anim('\tMise à jour des classes p2p') # Liste des classes candidates a la suppression scheduled_del = [] @@ -717,30 +717,30 @@ class firewall_komaz(firewall_crans) : try: for ip in ip_list: recherche = db.search('ip=%s&paiement=ok' % ip) - # Si l'ip n'appartient pas à un adhérent, + # Si l'ip n'appartient pas à un adhérent, # on ne cherche pas plus loin if not recherche['adherent']: continue machines = recherche['machine'] if not machines: - # Il faut supprimer cette entrée + # Il faut supprimer cette entrée iptables_option = '-D' subnet = IpSubnet(ip, conf_fw.mask[-1]) all_regles = iptables("-t mangle -L SUBNET-%(subnet)s -n" % locals()).split('\n') regles = [line for line in all_regles if ip in line] - # On sélectionne la première qui doit contenir ce que l'on veut + # On sélectionne la première qui doit contenir ce que l'on veut regle = regles[0].split() class_id = int(regle[7].split(':')[1]) # On marque la classe comme candidate a la suppression scheduled_del.append(class_id) elif len(machines) == 1: - # Il faut ajouter cette entrée + # Il faut ajouter cette entrée iptables_option = '-A' machine = machines[0] adherent = machine.proprietaire() ip = machine.ip() subnet = IpSubnet(ip, conf_fw.mask[-1]) - # On ne peut pas reprendre le numéro 1 + # On ne peut pas reprendre le numéro 1 class_id = int(adherent.id()) + 1 # On cree la classe et la qdisc s'il elles n'existent pas deja # qdisc_id = class_id @@ -760,7 +760,7 @@ class firewall_komaz(firewall_crans) : # raise e else: warn += "Plusieurs machines avec l'IP %s\n" % ip - # Il nous faut un n° inférieur à 9999 unique + # Il nous faut un n° inférieur à 9999 unique iptables("-t mangle %(iptables_option)s SUBNET-%(subnet)s " "-o %(eth_int)s -d %(ip)s -m mark --mark %(mark)s " "-j CLASSIFY --set-class 1:%(class_id)s" % locals()) @@ -800,7 +800,7 @@ class firewall_komaz(firewall_crans) : print OK def pre_stop_hook(self) : - self.anim = anim("\tArrêt du routage") + self.anim = anim("\tArrêt du routage") status,output=getstatusoutput('echo 0 > /proc/sys/net/ipv4/ip_forward') if status : print ERREUR @@ -829,10 +829,10 @@ class firewall_komaz(firewall_crans) : self.exception_catcher(self.ext_vers_crans) def log_chaines(self) : - """ Construction des chaînes de log (LOG_VIRUS et LOG_FLOOD) """ - self.anim = anim('\tCréation des chaînes de log') + """ Construction des chaînes de log (LOG_VIRUS et LOG_FLOOD) """ + self.anim = anim('\tCréation des chaînes de log') for filtre in [ 'VIRUS', 'FLOOD' ] : - # Vidage de la chaîne + # Vidage de la chaîne iptables('-t nat -F LOG_%s' % filtre) iptables('-t nat -A LOG_%s %s %s:' % (filtre, self.log_template, filtre.capitalize()) ) iptables('-t nat -A LOG_%s -j DROP' % filtre ) @@ -841,7 +841,7 @@ class firewall_komaz(firewall_crans) : print OK def test_virus_flood(self) : - """ Construction de la chaîne TEST_VIRUS """ + """ Construction de la chaîne TEST_VIRUS """ iptables('-t nat -F TEST_VIRUS_FLOOD') self.anim = anim('\tFiltrage virus et floods') @@ -855,39 +855,39 @@ class firewall_komaz(firewall_crans) : iptables('-t nat -A TEST_VIRUS_FLOOD -p %s --dport %s -j LOG_VIRUS' % (proto, port) ) self.anim.cycle() - iptables('-t nat -A TEST_VIRUS_FLOOD %s -j RETURN' % self.filtre_flood) # Les limites en négatif ca ne marche pas. + iptables('-t nat -A TEST_VIRUS_FLOOD %s -j RETURN' % self.filtre_flood) # Les limites en négatif ca ne marche pas. self.anim.cycle() iptables('-t nat -A TEST_VIRUS_FLOOD -j LOG_FLOOD') self.anim.reinit() print OK def serveurs_vers_ext(self) : - """ Reconstruit la chaîne SERVEURS_VERS_EXT """ + """ Reconstruit la chaîne SERVEURS_VERS_EXT """ if not self.build_chaine('SERVEURS_VERS_EXT', self.__serveurs_vers_ext) : self.anim.reinit() print OK def ext_vers_serveurs(self) : - """ Reconstruit la chaîne EXT_VERS_SERVEURS """ + """ Reconstruit la chaîne EXT_VERS_SERVEURS """ if not self.build_chaine('EXT_VERS_SERVEURS', self.__ext_vers_serveurs) : self.anim.reinit() print OK - # Attention les règles sont à l'envers. Hint '-I' + # Attention les règles sont à l'envers. Hint '-I' iptables("-I EXT_VERS_SERVEURS -p tcp --dport ssh -m state --state NEW\ -m recent --name SSH --update --seconds 60 --hitcount 4 --rttl -j DROP") iptables("-I EXT_VERS_SERVEURS -p tcp --dport ssh -m state --state NEW\ -m recent --name SSH --set") def crans_vers_ext(self) : - """ Reconstruit la chaîne CRANS_VERS_EXT """ + """ Reconstruit la chaîne CRANS_VERS_EXT """ self.build_chaine_adherent('CRANS_VERS_EXT',self.__crans_vers_ext) # Protocole GRE pour les VPN iptables("-I CRANS_VERS_EXT -p gre -j ACCEPT") def ext_vers_crans(self) : - """ Reconstruit la chaîne EXT_VERS_CRANS """ + """ Reconstruit la chaîne EXT_VERS_CRANS """ self.build_chaine_adherent('EXT_VERS_CRANS',self.__ext_vers_crans) - # Attention les règles sont à l'envers. Hint '-I' + # Attention les règles sont à l'envers. Hint '-I' iptables("-I EXT_VERS_CRANS -p tcp --dport ssh -m state --state NEW -j ACCEPT") iptables("-I EXT_VERS_CRANS -p tcp --dport ssh -m state --state NEW\ -m recent --name SSH --update --seconds 60 --hitcount 4 --rttl -j DROP") @@ -895,14 +895,14 @@ class firewall_komaz(firewall_crans) : -m recent --name SSH --set") def admin_vlan(self) : - """ Reconstruit la chaîne ADMIN_VLAN """ + """ Reconstruit la chaîne ADMIN_VLAN """ iptables("-F ADMIN_VLAN") #nounou_machines = [] #for adherent in db.search('droits=Nounou')['adherent'] : # for machine in adherent.machines() : # nounou_machines.append(machine.ip()) iptables("-A ADMIN_VLAN -j REJECT") - #self.anim = anim('\tChaîne ADMIN_VLAN', len(nounou_machines)) + #self.anim = anim('\tChaîne ADMIN_VLAN', len(nounou_machines)) #for machine in nounou_machines : # self.anim.cycle() # iptables("-I ADMIN_VLAN -p tcp -s %s --dport ssh -j ACCEPT" % machine) @@ -913,7 +913,7 @@ class firewall_komaz(firewall_crans) : def __serveurs_vers_ext(self,machine): ip=machine.ip() if not AddrInNet(ip,self.zone_serveur): - # C'est une machine adhérent, rien à faire ici + # C'est une machine adhérent, rien à faire ici return mac = machine.mac() @@ -928,7 +928,7 @@ class firewall_komaz(firewall_crans) : def __ext_vers_serveurs(self,machine): ip=machine.ip() if not AddrInNet(ip,self.zone_serveur): - # C'est une machine adhérent, rien à faire ici + # C'est une machine adhérent, rien à faire ici return ports = { 'tcp' : machine.portTCPin(), @@ -942,7 +942,7 @@ class firewall_komaz(firewall_crans) : def __crans_vers_ext(self,machine): ip=machine.ip() if AddrInNet(ip,self.zone_serveur): - # C'est un serveur, rien à faire ici + # C'est un serveur, rien à faire ici return ports = { 'tcp' : machine.portTCPout(), @@ -956,7 +956,7 @@ class firewall_komaz(firewall_crans) : def __ext_vers_crans(self,machine): ip=machine.ip() if AddrInNet(ip,self.zone_serveur): - # C'est un serveur, rien à faire ici + # C'est un serveur, rien à faire ici return ports = { 'tcp' : machine.portTCPin(), @@ -968,18 +968,18 @@ class firewall_komaz(firewall_crans) : %(ip,proto,port)) def blacklist(self): - """ Construit les chaînes de blackliste (BLACKLIST_{DST,SRC}) """ + """ Construit les chaînes de blackliste (BLACKLIST_{DST,SRC}) """ iptables('-F BLACKLIST_DST') iptables('-F BLACKLIST_SRC') - # Peut-être à mettre dans config.py ? + # Peut-être à mettre dans config.py ? blacklist_sanctions = ('upload', 'warez', 'p2p', 'autodisc_p2p', 'autodisc_upload', 'bloq') blacklist = [] # Recherche sur le champ ablacklist (clubs compris) search = db.search('ablacklist=*&paiement=ok') - self.anim = anim("\tBlackliste adhérents+clubs", len(search['adherent']+search['club'])) + self.anim = anim("\tBlackliste adhérents+clubs", len(search['adherent']+search['club'])) for entite in search['adherent'] + search['club']: self.anim.cycle() sanctions = entite.blacklist_actif() @@ -1003,7 +1003,7 @@ class firewall_komaz(firewall_crans) : self.anim.reinit() print OK - self.anim = anim("\tChaînes BLACKLISTE", len(blacklist)) + self.anim = anim("\tChaînes BLACKLISTE", len(blacklist)) for machine in blacklist: self.anim.cycle() iptables("-A BLACKLIST_DST -d %s -j REJECT --reject-with icmp-host-prohibited" % machine.ip()) @@ -1012,7 +1012,7 @@ class firewall_komaz(firewall_crans) : print OK def filtre_p2p(self): - """ Construit la chaînes de filtrage du p2p (FILTRE_P2P) """ + """ Construit la chaînes de filtrage du p2p (FILTRE_P2P) """ self.anim = anim("\tFiltrage p2p") iptables('-F FILTRE_P2P') @@ -1051,9 +1051,9 @@ class firewall_zamok(firewall_crans) : SERV_OUT_ADM TEST_MAC-IP table filter : - FORWARD (policy par défaut : DROP) - rien ne passe pas la chaîne FORWARD - INPUT (policy par défaut : ACCEPT) + FORWARD (policy par défaut : DROP) + rien ne passe pas la chaîne FORWARD + INPUT (policy par défaut : ACCEPT) """ @@ -1064,7 +1064,7 @@ class firewall_zamok(firewall_crans) : def serv_out_adm(self) : self.anim = anim('\tOutput vers VLAN adm', len(adm_users)) - # Supression des éventuelles règles + # Supression des éventuelles règles iptables("-t filter -F SERV_OUT_ADM") for user in adm_users : @@ -1079,7 +1079,7 @@ class firewall_zamok(firewall_crans) : iptables("-A SERV_OUT_ADM -p tcp --dport domain -j ACCEPT") iptables("-A SERV_OUT_ADM -p udp --dport domain -j ACCEPT") - # Pour le nfs (le paquet à laisser passer n'a pas d'owner) + # Pour le nfs (le paquet à laisser passer n'a pas d'owner) iptables("-A SERV_OUT_ADM -d fx.adm.crans.org -j ACCEPT") # Rien d'autre ne passe @@ -1117,11 +1117,11 @@ class firewall_zamok(firewall_crans) : self.serv_out_adm() def blacklist(self): - """Fondamentalement, bloque l'accès internet sur zamok aux - adhérents sanctionnés""" + """Fondamentalement, bloque l'accès internet sur zamok aux + adhérents sanctionnés""" iptables("-F OUTPUT") - # Règles OUTPUT de nat_table() à remettre en place + # Règles OUTPUT de nat_table() à remettre en place iptables("-t filter -A OUTPUT -o lo -j ACCEPT") iptables("-t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT") iptables("-t filter -A OUTPUT -o %s -j SERV_OUT_ADM" % self.eth_adm) @@ -1150,7 +1150,7 @@ class firewall_zamok(firewall_crans) : print OK def filter_table_tweaks(self) : - self.anim = anim('\tRègles spécifiques à zamok') + self.anim = anim('\tRègles spécifiques à zamok') iptables("-P INPUT ACCEPT") iptables("-P FORWARD DROP") print OK @@ -1166,9 +1166,9 @@ class firewall_rouge(firewall_crans) : SERV_OUT_ADM TEST_MAC-IP table filter : - FORWARD (policy par défaut : DROP) - rien ne passe pas la chaîne FORWARD - INPUT (policy par défaut : ACCEPT) + FORWARD (policy par défaut : DROP) + rien ne passe pas la chaîne FORWARD + INPUT (policy par défaut : ACCEPT) """ @@ -1192,7 +1192,7 @@ class firewall_rouge(firewall_crans) : print OK def filter_table_tweaks(self) : - self.anim = anim('\tRègles spécifiques à rouge') + self.anim = anim('\tRègles spécifiques à rouge') iptables("-P INPUT ACCEPT") iptables("-P FORWARD DROP") print OK @@ -1208,9 +1208,9 @@ class firewall_vert(firewall_crans) : table nat : MAC-IP table filter : - FORWARD (policy par défaut : DROP) - rien ne passe pas la chaîne FORWARD - INPUT (policy par défaut : ACCEPT) + FORWARD (policy par défaut : DROP) + rien ne passe pas la chaîne FORWARD + INPUT (policy par défaut : ACCEPT) """ @@ -1233,7 +1233,7 @@ class firewall_vert(firewall_crans) : print OK def filter_table_tweaks(self) : - self.anim = anim('\tRègles spécifiques à vert') + self.anim = anim('\tRègles spécifiques à vert') iptables("-P INPUT ACCEPT") iptables("-P FORWARD DROP") print OK @@ -1252,7 +1252,7 @@ class firewall_sable(firewall_rouge): iptables("-t mangle -A PREROUTING -m mark --mark %s -j ACCEPT" % conf_fw.mark['proxy']) # On marque les paquets venant du vlan radin vers de l'https - # pour qu'ils soient nattés + # pour qu'ils soient nattés iptables("-t mangle -A PREROUTING -i eth0.%d -p tcp -m tcp --dport 443 -j MARK --set-mark %s" % (vlans["radin"], conf_fw.mark["https-radin"])) @@ -1289,7 +1289,7 @@ class firewall_sable(firewall_rouge): # Nat pour le https sur le vlan radin iptables("-t nat -A POSTROUTING -m mark --mark %s -j MASQUERADE" % conf_fw.mark["https-radin"]) - # Limite de débit sur le vlan radin + # Limite de débit sur le vlan radin try: tc("qdisc del dev %s root" % if_radin) except TcError, c: @@ -1325,8 +1325,8 @@ class firewall_gordon(firewall_crans) : table nat : MAC-IP table filter : - FORWARD (policy par défaut : ACCEPT) - INPUT (policy par défaut : ACCEPT) + FORWARD (policy par défaut : ACCEPT) + INPUT (policy par défaut : ACCEPT) table mangle : POSTROUTING : le proxy transparent @@ -1352,13 +1352,13 @@ class firewall_gordon(firewall_crans) : print OK def filter_table_tweaks(self) : - self.anim = anim('\tRègles spécifiques à gordon') + self.anim = anim('\tRègles spécifiques à gordon') iptables("-P INPUT ACCEPT") iptables("-P FORWARD ACCEPT") print OK def mangle_table(self): - self.anim = anim('\tRègles spécifiques à gordon') + self.anim = anim('\tRègles spécifiques à gordon') iptables("-t mangle -A PREROUTING " + "-d ! 138.231.136.0/21 " + ("-i %s " % self.eth_wifi) + @@ -1383,7 +1383,7 @@ class firewall_gordon(firewall_crans) : if __name__ == '__main__' : - # Chaînes pouvant être recontruites + # Chaînes pouvant être recontruites fw = eval('firewall_%s()' % hostname) chaines = [] for nom in dir(fw) : @@ -1396,11 +1396,11 @@ if __name__ == '__main__' : print """Usage: %(p)s start : Construction du firewall. %(p)s restart : Reconstruction du firewall. - %(p)s stop : Arrêt du firewall. - %(p)s : reconstruit les chaînes -Les chaînes pouvant être reconstruites sont : + %(p)s stop : Arrêt du firewall. + %(p)s : reconstruit les chaînes +Les chaînes pouvant être reconstruites sont : %(chaines)s -Pour reconfiguration d'IPs particulières, utiliser generate. """ % \ +Pour reconfiguration d'IPs particulières, utiliser generate. """ % \ { 'p' : sys.argv[0].split('/')[-1] , 'chaines' : '\n '.join(chaines) } sys.exit(-1) @@ -1409,7 +1409,7 @@ Pour reconfiguration d'IPs particuli __usage() for arg in sys.argv[1:] : if arg in [ 'stop', 'restart', 'start' ] and len(sys.argv) != 2 : - __usage("L'argument %s ne peut être employé que seul." % arg) + __usage("L'argument %s ne peut être employé que seul." % arg) if arg not in [ 'stop', 'restart', 'start' ] + chaines : __usage("L'argument %s est inconnu." % arg)