crans/scripts
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
5949 commits 4 branches 0 tags 9.6 MiB
Commit graph

40 commits

Author SHA1 Message Date
Daniel STAN
4bffa3ece1 fw6: adaptation au cas sans rid 2014-12-10 22:58:09 +01:00
Daniel STAN
56abe89165 firewall6: LOG_MAC_IP -> poubelle 2014-11-15 18:00:49 +01:00
Daniel STAN
9e96c30a21 firewall6: tracker_torrent -> poubelle 2014-11-15 18:00:26 +01:00
Daniel STAN
c958675ce0 Revert "(tmp) bloque tout traffic ipv6 vers tunnel 
This reverts commit 9e92275c33.
 2014-09-30 17:48:09 +02:00
Daniel STAN
9e92275c33 (tmp) bloque tout traffic ipv6 vers tunnel (hs) 2014-09-27 12:59:17 +02:00
Daniel STAN
e6bd4e9323 fix firewall6 sur odlyd 2014-08-25 22:16:16 +02:00
Daniel STAN
de45237b50 config: varible mac_wifi inutile 2014-08-24 17:54:01 +02:00
Daniel STAN
7a0a190e71 odlyd: l'interface v6 s'appelle sixxs 2014-08-24 15:52:27 +02:00
Valentin Samir
f27a94b48c [firewall6] On ne laisse pas passer le /32 de google pour voir si ça impacte la charge du tunnel ipv6 2013-12-08 15:31:08 +01:00
Valentin Samir
a2369dadf4 [ipv6only] Modifications pour pettre des machines sans ipv4 et pare feu pour nat64 2013-11-05 13:24:15 +01:00
Pierre-Elliott Bécue
1cc8fe4270 [config/v6] J'ai modifié les realms des machines v6 only. 
* Tout ça pour pas me faire chier à faire une correspondance realm v4 <->
 v6 only. :p
 2013-07-04 02:08:33 +02:00
Pierre-Elliott Bécue
a442fd6b22 [global/rid] J'ai essayé de mettre en place une bijection realm <-> NETs <-> rid 
* Les rid sont maintenant des listes de tuples.
 * Il faut utiliser crans_utils.find_rid_plage, et crans_utils.find_ipv4_plage
 qui renvoient le realm d'un rid/d'une ipv4, et la plage associée (un tuple ou
 un slash ipv4).
 * Pour les anciens scripts, j'ai mis find_rid_plage dans ridtools, il faut l'utiliser
 également à la place des boucles for tp, (begin, end) in config.rid.iteritems()...
 * J'ai essayé de faire attention à tout ce que ça aurait pu casser, mais ce n'est
 pas garanti
 2013-05-30 01:11:36 +02:00
Vincent Le Gallic
c371496e74 [gestion/gen_conf/firewall*] renommage de conf_fw en config.firewall 2013-03-26 17:55:58 +01:00
Vincent Le Gallic
2ce185720e Éclatement de config.py en plusieurs sous-module de config. L'API reste à peu près la même, il faut juste penser à import config.submodule avant d'utilisr config.submodule (confid.dns, config.upload par exemple) 
Tous les autres fichiers modifiés le sont pour compatibilité avec ce changement.

Ce commit implique des commits du même genre dans l'intranet2, lc_ldap et bcfg2.
 2013-03-26 16:24:31 +01:00
Valentin Samir
ceeaa7525f [firewall_new,firewall6] Plus de filtrage p2p 2013-03-14 17:26:39 +01:00
Valentin Samir
349e424d1d [firewall6.py] Lors d'un restart, ça ne sert à rien de vider d'abord les règles, ip6tables-restore sans option effectue très bien la substitution des nouvelles règles aux anciennes 2013-02-25 02:12:35 +01:00
Valentin Samir
d8e716f22b [config.py, firewall6.py, ipt.py] On passe la policy de FORWARD en ipv6 à accept, pour mise à jour des blacklistes, on ne réappliques que les chaines concernées. Possibilité de recharger les blacklistes en ligne de commande. 2013-02-25 01:47:14 +01:00
Valentin Samir
ab5320bfd2 [gestion/gen_confs/firewall6.py,gestion/ipt.py] Ménage dans les règles après que komaz soit devenue routeur pour le wifi et avoir permis les etensions de vie privée. 2013-02-13 15:14:04 +01:00
Valentin Samir
9477bafd68 [firewall6] De l'ipv6 sur le vlan évènement 2013-02-09 17:42:39 +01:00
Valentin Samir
74468eb34d [firewall6, ipt] Routage du wifi via komaz, ajout d'une zone serveur distincte des machines filaires, clamp-mss-to-pmtu 2013-02-09 17:41:50 +01:00
Pierre-Elliott Bécue
2a7dd72069 [Scripts] On rajoute un champ rid qui fait le lien avec les plages d'ip, et on rend le mid strictement croissant. 
Ignore-this: 199e9ff5f09e1fe600c1066179f4e47b
Ce patch est un test, il ne restera en prod que si ça fonctionne. L'idée est qu'on souhaiterait conserver les vieilles machines comme les vieux adhérents, sauf demande explicite de suppression, par ailleurs, l'association mid <=> ip est très utile pour pas mal de choses. Pour la conserver, on crée un identifiant rid, qui supplante le mid, qui est lui choisi comme l'aid ou le fid, en incrémentant.

Ce patch vise à implémenter cela. S'il génère des bugs, il subira un rollback.

darcs-hash:20130123021650-b6762-347428d75f066f7f4821ca067d8c9bb6a4396bf5.gz
 2013-01-23 03:16:50 +01:00
Valentin Samir
6e27d6a09a [config,firewall_new, firewall6] On pousse de la conf commune à firewall_new et firewall6 dans config 
Ignore-this: d132731f820f32809f1690716ccff1da

darcs-hash:20121209173407-3a55a-73c9883fdebfe7aaf71f6bbb2a0fc83306f98fbc.gz
 2012-12-09 18:34:07 +01:00
Valentin Samir
f8332851b4 [ipt,firewall6,firewall_new] Mise à jour du blocage des tracker torrent udp, les port 445 et 135 sont retirer du trigger VIRUS (mais toujours bloqués) 
Ignore-this: ea68ea4670ec109a2575a243c2e89ca6

darcs-hash:20121209172425-3a55a-3fb45d35a11fc552e0c1e786d181334272913123.gz
 2012-12-09 18:24:25 +01:00
Valentin Samir
56a4f3cff4 [firewall6] Sinon, firewall6 ne se lance plus sur komaz. 
Ignore-this: 34ddb6d307778f1512a68ad00036f3d1

darcs-hash:20121125151541-3a55a-26b416ea7933aae028cb01340a09358f566231f6.gz
 2012-11-25 16:15:41 +01:00
Valentin Samir
327689a051 [ipt,firewall6] Ajout blacklist pour carte etudiant et chambre invalide, on accepte les icmp NDP en output/input pour pouvoir envoyer des REJECT 
Ignore-this: 58ba4a92e7be972ba8db8a4819df9174

darcs-hash:20121104152928-3a55a-5f42ca802a7c0016e5931dcdc1281f60a860da2d.gz
 2012-11-04 16:29:28 +01:00
Valentin Samir
871cf91d7b [firewall6] s/DROP/REJECT/g 
Ignore-this: 1831804fe846ba8186466adadba594c5

darcs-hash:20121004021220-3a55a-0c84daf10f4a414e8e7548dbfcfa0f22ef731c4b.gz
 2012-10-04 04:12:20 +02:00
Raphael Cauderlier
4818e80c41 [firewall6] corrections sur le firewall IPv6 de zamok 
Ignore-this: fd14c1fed392ba1365ca2bba1dded80e

darcs-hash:20120601170354-dd9a4-c025054653b274e47766da05abf90a2da321e2b9.gz
 2012-06-01 19:03:54 +02:00
Valentin Samir
078b165c49 [firewall6] On log tous les paquets avec ip,port d'origine et de destination et les adresses mac, en prévision du remplacement du filtre mac-ip par un filtre mac, afin de pourvoir faire une association mac-ip à un instant t 
Ignore-this: 35831e0e36b7812eafe882a9c8bd0e9b
Il faudra penser avant cela à patcher netacct pour le faire fonctionner en fonction des adresses mac (en générant une ip à partir de la mac) et non en fonction des adresses ip.

darcs-hash:20120216180408-3a55a-cdd6b809e2592998f0bcb26bd6b853d5859dc437.gz
 2012-02-16 19:04:08 +01:00
Valentin Samir
50ab65b27f [firewall6.py,ipt.py] Filtrage partiel des trackers bittorent en ipv6 
darcs-hash:20120104125344-3a55a-3ad728a7016e6df7cbe4590f0a5ae80eb930e286.gz
 2012-01-04 13:53:44 +01:00
Nicolas Dandrimont
3cb768bfaf [firewall6] Lisibilité 
Ignore-this: f731deeafe8c377076893bfd108ebf75

darcs-hash:20110507164030-ffbb2-31cc00e9b596456a5f0be7d15b466ff2b4973c91.gz
 2011-05-07 18:40:30 +02:00
Nicolas Dandrimont
616218e0b1 [firewall6] ouverture du port 80 
Ignore-this: f7ce928ddb69ea2890a3298f5298e721

darcs-hash:20110507163820-ffbb2-4ff39318c631969e509b3b36522d2b7c78f25a0d.gz
 2011-05-07 18:38:20 +02:00
Olivier Huber
fbe8b43e87 [firewall6] doc++ && filtrage++ 
Ignore-this: b7ceefc14cc7041ea1b34c32e431bd55

darcs-hash:20110308203939-8fbb1-344bb5a9a9b00dc29c5811fd8cf97e05857a35cc.gz
 2011-03-08 21:39:39 +01:00
Olivier Huber
7a6a840c0f [firewall6] on rajoute l'ingress filtering 
Ignore-this: 70bb869f58f85e481e7a8329fcf80e06

darcs-hash:20110308203846-8fbb1-a2688cf00d420dc48de79c6cb5e22415d43e17f1.gz
 2011-03-08 21:38:46 +01:00
Olivier Huber
b5159c0c68 [./gestion/gen_confs/firewall6.py] les serveurs adm_only n'ont pas besoin de firewall 
et ceux à l'extérieur ont aussi une configuration totalement différente

darcs-hash:20100704041306-8fbb1-78a115df7e24f45837128f1a2b6f30859af5abd0.gz
 2010-07-04 06:13:06 +02:00
Olivier Huber
4df17ce3df [./gestion/gen_confs/firewall6.py] bugfix 
darcs-hash:20100627052655-8fbb1-04df23ec8ee75d576ce3650335fa9f6e68f4ae4a.gz
 2010-06-27 07:26:55 +02:00
Olivier Huber
2b7bac51a9 [./gestion/gen_confs/firewall6.py) pas de fw pour le sniffer 
darcs-hash:20100618004447-8fbb1-7bf9b47a672e4333ba9b25a4bf2c4a3245e3644a.gz
 2010-06-18 02:44:47 +02:00
Olivier Huber
4d22667441 [./gestion/gen_confs/firewall6.py] oubli 
darcs-hash:20100304054700-8fbb1-d2f5458181470662b0f64e0e42b06ea402e7a212.gz
 2010-03-04 06:47:00 +01:00
Olivier Huber
ac32514c7e [./gestion/gen_confs/firewall6.py] Ajout d'un debut de support du wifi 
darcs-hash:20100304054430-8fbb1-881857301965b6ac91d8b7096b94a474fdbf2766.gz
 2010-03-04 06:44:30 +01:00
Olivier Huber
82c673dcc1 [./gestion/gen_confs/firewall6.py] Ajout des ports ouverts depuis l'exterieur en general 
darcs-hash:20100228055614-8fbb1-2c3e31f7c86dc226b87689417f799e6c3299cd97.gz
 2010-02-28 06:56:14 +01:00
Olivier Huber
3ac1a04e06 [gestion/gen_confs/firewall6.py] Ajout du script de génération du firewall ipv6 
Le principe de la génération est que l'on applique des règles de base
(principalement la correspondance MAC_IP) et ensuite suivant les attributs des
serveurs qui sont définis dans config.py on exécute certaines fonctions.

Il reste encore pas mal de fonctionnalités à coder pour que cela s'exécute sur
tous les serveurs, mais la base est là et fonctionnelle.

Il est prévu à moyen-terme (au niveau de la rentrée 2010) d'avoir un script
pour la génération du firewall en ipv4.

Une revue de code serait là aussi appréciée.

darcs-hash:20100226034736-8fbb1-83545cbb9fab36be081da20b0c654d5aacffc7df.gz
 2010-02-26 04:47:36 +01:00