crans/scripts
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
4661 commits 4 branches 0 tags 9.6 MiB
Commit graph

52 commits

Author SHA1 Message Date
Vincent Le Gallic
2ce185720e Éclatement de config.py en plusieurs sous-module de config. L'API reste à peu près la même, il faut juste penser à import config.submodule avant d'utilisr config.submodule (confid.dns, config.upload par exemple) 
Tous les autres fichiers modifiés le sont pour compatibilité avec ce changement.

Ce commit implique des commits du même genre dans l'intranet2, lc_ldap et bcfg2.
 2013-03-26 16:24:31 +01:00
Valentin Samir
d668fd6fdc [firewall_new] len(NETs['fil'])>1 2013-03-14 17:29:18 +01:00
Valentin Samir
ceeaa7525f [firewall_new,firewall6] Plus de filtrage p2p 2013-03-14 17:26:39 +01:00
Valentin Samir
fee4e88908 [firwall_new] Dans le dictionnaire des machines accessible depuis accueil, on stocke aussi le dns de la machine, on modifie firewall_new en conséquence. 2013-02-09 17:43:46 +01:00
Pierre-Elliott Bécue
b96b691639 [Firewall_new] On vire la classe de vert, et on s'assure que les serveurs passent mac_ip sur leur patte publique aussi. 
Ignore-this: 3743f038f7f9728e1c98db22ef7cf5ae

darcs-hash:20130126222113-afe24-bc71f3415e81d1b10d01b24e3bf566e7d4c9538a.gz
 2013-01-26 23:21:13 +01:00
Valentin Samir
76d1808819 [firewall_new] On repasse filtre_p2p après test_mac_ip dans la génération. 
Ignore-this: aea1b5937402467763a07dd09bceb935

darcs-hash:20130126184446-3a55a-ca939b3a4617edce4100c068d6e5f845525d4f84.gz
 2013-01-26 19:44:46 +01:00
Valentin Samir
9e16d81848 [firewall_new,ipset] Lors de la génération du pare-feu, on restaure les ipsets plutôt que d'ajouter les ips une à une. 
Ignore-this: 29d8a044a6bfcc23724de9831213d1b

darcs-hash:20130125184040-3a55a-cee42abc272c8710a20845b9f3c46189b22fdf5f.gz
 2013-01-25 19:40:40 +01:00
Daniel STAN
14ac4f12ac [firewall/wifi] adapter mss à la mtu du lien 
Ignore-this: dff3807363f21a8a7345ca4f007533f3
Ça ne coûte rien de l'indiquer. Il semble cependant que le problème de
transfert vienne du client (il s'agit alors de forcer la mtu dessus
à l'aide de dhcp)

darcs-hash:20130125143802-28565-e265ba6ce0bd147b2fbbfe51280ac1a4a59bd70e.gz
 2013-01-25 15:38:02 +01:00
Valentin Samir
7f4bfdad17 [firewall_new] On ajoute une interface wifi sur komaz pour y router directement le wifi. On fait les modification nécessaire dans le pare-feu pour cela. On fait en sorte que le routage via gordon fonctionne toujours, du moins pour un temps. 
Ignore-this: 3101c19683d2c38eeb8cf8a01d76e22e

darcs-hash:20130125032321-3a55a-58b229a31b25f46fb5e08b2b18eeb7f78b75098e.gz
 2013-01-25 04:23:21 +01:00
Valentin Samir
5731cc63e5 [firewall_new] On remonte aussi la limite ssh pour les machines des adhérents 
Ignore-this: 1eddb79e5226399b7f0511bc6bd9ee7d

darcs-hash:20130107201753-3a55a-276d660bf9ece2a4f604307bea35af66ce319fd7.gz
 2013-01-07 21:17:53 +01:00
Valentin Samir
ed432829f1 [firewall_new] On fixe le MSS TCP sur appartement, crans et ens en fonction de la MTU du lien 
Ignore-this: ccb0455afc0cd9aa9b1686b555d934f

darcs-hash:20121218170003-3a55a-9dfbbca5af6e46a00f37c3a086a3043fd457ca52.gz
 2012-12-18 18:00:03 +01:00
Valentin Samir
4ca0088778 [firewall_new] On augmente la limite de détection de flood 
Ignore-this: 1a82498a6f8b4fbff10924d3686364d

darcs-hash:20121213222258-3a55a-eeaa7fe93a3161544b09a40020b7a77e588ee0ea.gz
 2012-12-13 23:22:58 +01:00
Valentin Samir
f2ebf9145b [firewall_new] ips non routables ++ 
Ignore-this: ac162a5f04da481753f6c052271accc2
0.0.0.0/8 RFC1700
127.0.0.0/8  RFC5735
192.0.2.0/24 RFC5737
198.18.0.0/15 RFC2544
198.51.100.0/24 RFC5737
198.51.100.0/24  RFC5737
203.0.113.0/24 RFC5737
240.0.0.0/4  RFC5735

darcs-hash:20121213221807-3a55a-993e9ee148d802e09ac3ccb599812726a7666d55.gz
 2012-12-13 23:18:07 +01:00
Valentin Samir
6e27d6a09a [config,firewall_new, firewall6] On pousse de la conf commune à firewall_new et firewall6 dans config 
Ignore-this: d132731f820f32809f1690716ccff1da

darcs-hash:20121209173407-3a55a-73c9883fdebfe7aaf71f6bbb2a0fc83306f98fbc.gz
 2012-12-09 18:34:07 +01:00
Valentin Samir
f8332851b4 [ipt,firewall6,firewall_new] Mise à jour du blocage des tracker torrent udp, les port 445 et 135 sont retirer du trigger VIRUS (mais toujours bloqués) 
Ignore-this: ea68ea4670ec109a2575a243c2e89ca6

darcs-hash:20121209172425-3a55a-3fb45d35a11fc552e0c1e786d181334272913123.gz
 2012-12-09 18:24:25 +01:00
Valentin Samir
e6777ccb12 [firewall_new] fucking limitation à 3 connexions ssh / min deuxième édition 
Ignore-this: b89cfa9dd6329fc2f9d7a56b236beab9

darcs-hash:20121201013720-3a55a-e5178039494da4537ee718fe7bf14279c3d13246.gz
 2012-12-01 02:37:20 +01:00
Valentin Samir
4c7cfd1615 [firewall_new] fucking 3 connections / min 
Ignore-this: 2797ee4c2dcaf129d7de5f8530744651

darcs-hash:20121201013422-3a55a-e4753dc41d3d9fead889d706807776b2d8d8ead7.gz
 2012-12-01 02:34:22 +01:00
Valentin Samir
d771498ce1 [firewall_new] dns menteur encore plus menteur sur le vlan accueil. 
Ignore-this: f7c21ada58035bb1bc1bb766c4328b72

darcs-hash:20121125151638-3a55a-391e22aad85cf43495f7af16ef2b3a5ed6f241b6.gz
 2012-11-25 16:16:38 +01:00
Valentin Samir
5e83e9aebd [config,firewall_new] On bloque quand on est deconnecté pour virus, on route quelques ip crans depuis le vlan isolement (par exemple, le PXE) 
Ignore-this: 1a6f7b2339214b76f71968a0096f5e73

darcs-hash:20121122171458-3a55a-6bd681316cd5496c71f6811f4c5a6eff64f6432b.gz
 2012-11-22 18:14:58 +01:00
Valentin Samir
b9d816072a [config,firewall_new] Traffic shapping 500Mbps la nuit, et on y desactive la QoS 
Ignore-this: 288c69f8f9940d07ba746b05f2684acd

darcs-hash:20121122171309-3a55a-707b62cd0abd11aec893159de19b92bb50145f78.gz
 2012-11-22 18:13:09 +01:00
Valentin Samir
b92229f0f1 [config,firewall_new,ipt,ldap_crans] bl_carte_et_definitif = True, sursis d'une semaine même avec bl_carte_et_definitif 
Ignore-this: aef64ec3880b96beda0ec95c7c6c255c

darcs-hash:20121119160943-3a55a-309f4e1bf82cc4ef955c7a7a723220704e74ba18.gz
 2012-11-19 17:09:43 +01:00
Valentin Samir
9a5b4e2d57 [config,firewall_new,generate,ldap_crans] On route intranet2 depuis le vlan accueil, on utilise iptable-restore pour la génération des blacklists, les déco soft sont relaiyé par le nginx de komaz, toutes les blackliste sont à generate sur komaz, les première inscription n'ont que inscription dans leur historique. 
Ignore-this: 8b8414f5185ec9db2e4bf7f7f97d9161

darcs-hash:20121117003929-3a55a-0452cece4b67e246e6cf7ac72469af9f71722826.gz
 2012-11-17 01:39:29 +01:00
Valentin Samir
53430d490e [firewall_new] On modifie la taille maximale d'un segment TCP pour la connexion appartement. 
Ignore-this: acf416db7bc38356bf2b98e4505078ae

darcs-hash:20121111155055-3a55a-4a4173013fbdb57d504a219fb37cc56a6c89352d.gz
 2012-11-11 16:50:55 +01:00
Valentin Samir
977d281c56 [firewall_new,config,firewall6,generate,ipt] On rediriges les machines blacklisté vers routeur 
Ignore-this: fc33fe2ea8d2c37c48b52d3e70443231
Pour ça, generate doit regénérer la chaine BLACKLIST_SOFT du firewall pour tout type de blacklist.
On on utilise plus le squid de sable, on néttoie les fonctions en question dans generate.
Pour rediriger vers routeur, un utilise le nginx de komaz comme relais, cf commit du 09/11/2012.

darcs-hash:20121111154240-3a55a-6d7b39b7797ff6950f18e436d7cfd187f31c4656.gz
 2012-11-11 16:42:40 +01:00
Valentin Samir
9723c45944 [generate,firewall_new] Ajout d'un firewall pour routeur, on n'utilise plus le squid de sable pour la connexion de secours et pour les blacklist softs 
Ignore-this: c820183e6f2f727090b02919763180bb

darcs-hash:20121108234918-3a55a-673ea6cda3848b2f3e7efac20c56a75fa266f3b3.gz
 2012-11-09 00:49:18 +01:00
Valentin Samir
c71900a5ba [firewall_new,generate,ldap_crans] Prise en compte des déco chambre invalide et carte étudiant 
Ignore-this: 16f86d33fe0e98057fd9533abc25aa88
TOujours effectué sur squid, elles était alors simplement ignoré
puisque la connection au web est maintemant directe.
On ajoute donc des blacklistes soft "virtuelle" pour carte et
chambre invalide dans ldap_crans, ce qui a pour effet de faire
que le pare-feu redirige vers sable (et squid) les machines consernées.
On dit à générate de recharger les blackliste du pare-feu lorsque l'on coche
une carte étudiant dans gest_crans ou quand le status chambre invalide change.
btw, on reporte aussi les modifications de crans_ldap dans lc_ldap.

darcs-hash:20121104020449-3a55a-78f73e677e75e8eaa087fd9bd6f8c1aec2b593ea.gz
 2012-11-04 03:04:49 +01:00
Valentin Samir
15c78a93a7 [firewall_new] Les appartements passent par komaz. 
Ignore-this: 49627aac6bc73d557adfdb9bcd8d203e

darcs-hash:20121016150119-3a55a-37a4a4c6309f23c382a83fb0a2bc50e1f6b56c84.gz
 2012-10-16 17:01:19 +02:00
Valentin Samir
b3a74d3233 [firewall_new] On limite l'upload des appartements ENS 
Ignore-this: d684765f44d3a1ed757985421c51f14b

darcs-hash:20121005151500-3a55a-997c16ca303b52c0335e6192ecf4a64bf3736ff3.gz
 2012-10-05 17:15:00 +02:00
Valentin Samir
c6b1c08697 On sauvegarde la configuration du firewall avant de la redémarrer pour debug 
Ignore-this: 779b8f3ece0f84819388148a3358a56a

darcs-hash:20121004021136-3a55a-6547e81514aedc1ffb1d648dead6e08165a66685.gz
 2012-10-04 04:11:36 +02:00
Valentin Samir
2c92618905 [config,firewall] Routage de l'intranet et du wiki sur le vlan accueil 
Ignore-this: 945ca164eeedf63ae960bc5a4321040

darcs-hash:20120901105646-3a55a-05e04aa63ffacc1fd37cbf064132d3414aaaf596.gz
 2012-09-01 12:56:46 +02:00
Valentin Samir
84d7e65368 Filtrate de l'acces a l'interface adm de zamok depuis zamok, REJECT https en connexion de secours 
Ignore-this: caab4053a2a381e33aaca8c0f29e3180

darcs-hash:20120822043208-3a55a-ca31d22a2d88b32d14836809d6e048da7716b0f1.gz
 2012-08-22 06:32:08 +02:00
Pierre-Elliott Bécue
12fbab283f [Firewall] Zamok doit pouvoir parler à daath. 
Ignore-this: 9e3950b6e9b509e84a38f284b99a406f

darcs-hash:20120808151624-b6762-c21c257a067631ba34dba82ee4f1ad88e613ef1e.gz
 2012-08-08 17:16:24 +02:00
becue
b7e9acf9f1 [Mails] Bye bye rouge 
Ignore-this: 41f78b2bd4df9b4411c032a4169574be

darcs-hash:20120802160424-ab199-b3db7d18ed58b1e64d8dba4ee919e6870f4457a8.gz
 2012-08-02 18:04:24 +02:00
Daniel STAN
ba8abc37f9 [secours] On teste l'https sur la connexion de secours 
Ignore-this: 4bdec26f34bfa786b2d82c46e16c4ea0

darcs-hash:20120731161131-28565-fce0c68eb41cb988e1497ebc100fbaa3ff8edc7b.gz
 2012-07-31 18:11:31 +02:00
Pierre-Elliott Bécue
c4d84a214c [/usr/scripts/] Ajout de charybde à la place de sila 
Ignore-this: a8a39ec418d9c537f5c2824ff38b6251

darcs-hash:20120620101717-b6762-2ce7750aab12c0aa77fd743e8c03710e71cd5ed0.gz
 2012-06-20 12:17:17 +02:00
Valentin Samir
c597fea4cb On réserve 50Mbps pour la classe par default, mais on lui laisse la possibilité d'utiliser plus si les ressources sont disponibles 
Ignore-this: 45a85011fb390912a80dbbf89c84236e

darcs-hash:20120521044842-3a55a-16df9eef63c8251b1c4b2c59617c0e3b38640f9c.gz
 2012-05-21 06:48:42 +02:00
Valentin Samir
396908ce17 RFC 6598, 100.64.0.0/10 est réservé pour faire de gros NATs 
Ignore-this: d0c110d033ffebf2b28ce269b4016c33

darcs-hash:20120424062613-3a55a-ce5505a80da640273f6b8c4617ec90d9517fde57.gz
 2012-04-24 08:26:13 +02:00
Valentin Samir
fcdd7034dc [firewall_new.py] Zamok est sous squeeze 
Ignore-this: 8cc380cac1774cf64cc29cb229678267

darcs-hash:20120302230418-3a55a-c78f593b6e03054364ed3256d2bc5600e2831808.gz
 2012-03-03 00:04:18 +01:00
Daniel STAN
3169b58f2e [firewall_new] Utilisation de firewall_new dans regenerate macip 
Ignore-this: 478b4193e24e87f5d49cd7f5faf9b8f9
Une solution plus propre dans generate.py serait la bienvenue ...

darcs-hash:20120229003444-28565-24c4e1aa6e34229d67143c8c55a715d0dd14042e.gz
 2012-02-29 01:34:44 +01:00
Valentin Samir
934dd3c502 [firewall_new] Gordon est passé sous squeeze, on ne peut plus rejeter ou droper de paquets dans nat, on bascule TEST_MAC-IP dans filter. 
Ignore-this: 2e2f6d91be7acea713265a48f5d4aac4

darcs-hash:20120216180256-3a55a-90682b60023bc0f664ad71fde48d319e122ff381.gz
 2012-02-16 19:02:56 +01:00
Valentin Samir
902ca066cd [firewall_new] Mise en place de la connection de secours au niveau du pare-feu, de façon similaire aux déconnections soft. 
Ignore-this: f8e92058fc65398b26445105f2f77b80

darcs-hash:20120216180110-3a55a-cd9ac5171a2ccfb60ba5f2a4d67ad4dc4c2aba27.gz
 2012-02-16 19:01:10 +01:00
Valentin Samir
ccec4ca67e [firewall_new] On crée une classe par default de QoS prioritaire au début du chargement du firewall pour limiter le débit total, on ne crée la classe de chaque adhérent qu'à la fin du chargement du firewall. Ajout d'une fonction reload_qos qui ne recharche que la QoS pour le traffic shapping à venir. 
Ignore-this: 2db593b54f3732748df879a7eda24d8f

darcs-hash:20120216175537-3a55a-1289d6d7ca04ec8aa3892ebfc94aa19f52d16f0d.gz
 2012-02-16 18:55:37 +01:00
Valentin Samir
81f9ae2c9e [firewall_new] On bloque le débit à debit_max dès le début du reboot du firewall 
darcs-hash:20120104125216-3a55a-8b823fa6ff3194eb9580da0f036279696c9bb8be.gz
 2012-01-04 13:52:16 +01:00
Valentin Samir
3568566340 [firewall_new.py] On filtre mieux lee P2P 
darcs-hash:20120104125001-3a55a-4f8b01e69f67ce290b6a6cf40a25f1991acd1ec4.gz
 2012-01-04 13:50:01 +01:00
Michel Blockelet
2a0192533c [firewall_new.py] On desactive la detection de AppleJuice et WinMX 
Ignore-this: b6f59f924d5c2b256325d0e9e263348b
IPP2P les detecte probablement mal, on prefere eviter de deconnecter trop de
gens pour rien

darcs-hash:20111130000626-ddb99-19633d11d0f3adc5b53eefc4f8cdfaf550730a08.gz
 2011-11-30 01:06:26 +01:00
Valentin Samir
39c3b022bc [firewall_new] On met en place un filtre sur les tracker torrent, pour le moment, on ne fait que loguer pour tester 
Ignore-this: c811541b345d19c9498291dd07e262b9

darcs-hash:20111126184859-3a55a-a4a5a80a91015ce0bc257d0393c7e468964ba3a7.gz
 2011-11-26 19:48:59 +01:00
Valentin Samir
587860cd5d [firewall_new,firewall,firewall-logrotate-script] On laisse acceuil et isolement sur squid, on met les blacklist softs vers squid, le reste passe en direct. 
Ignore-this: a6e2c0a26fddbb7232360f64dc3cfec5

darcs-hash:20111118161604-3a55a-c88c1122b35bc897010fbf03d431d58175a3f1ac.gz
 2011-11-18 17:16:04 +01:00
Valentin Samir
f08476b6f8 [firewall_new] Mort à squid, on log les connections sur komaz, on monte la limite de flood à 100/s 
Ignore-this: e2f6cbc17adbddd4c0cf10a60f2435af

darcs-hash:20111118015755-3a55a-0598ec8bcf9006269f9f96f029ededd5380c53f8.gz
 2011-11-18 02:57:55 +01:00
Daniel STAN
df9794f45e [firewall_new] Debit ftp maximal (après emprunt)=debit connexion 
darcs-hash:20111116131542-28565-c2f0aa66518fcdcab49758f3844298df0fa6f591.gz
 2011-11-16 14:15:42 +01:00
Daniel STAN
720fe16bb7 [gestion/gen_confs/firewall_new] Correction de l'ip du ftp 
Mais il va faudrait dé-hardcoder tout ça :/

darcs-hash:20111113122721-28565-2f9239a92a2295bc4d4ca9ce81c3c373fdf258a3.gz
 2011-11-13 13:27:21 +01:00