c2397e3a2a5724434a0022c30db4b2cbd4125a0a
R\303\251seau/Firewall.md
| ... | ... | @@ -9,6 +9,12 @@ Le but du nouveau script pour le Firewall / Shapping est de fournir un firewall |
| 9 | 9 | |
| 10 | 10 | ## Les fonctionnalités |
| 11 | 11 | |
| 12 | +Le firewall gèrent plusieurs fonctionnalités: |
|
| 13 | +- Création des règles iptables (NAT, PAT, ...) |
|
| 14 | +- Gestion des règles tc (traffic control) pour gérer les débits et la qos |
|
| 15 | +- Mise à jour en fonction de l'inscription / suppression / paiement |
|
| 16 | +- Mise à jour du champ lastDate d'un userResel (nécessite un accès en ECRITURE au Ldap principal) |
|
| 17 | + |
|
| 12 | 18 | ### Paramètres du service |
| 13 | 19 | |
| 14 | 20 | Un service nommé reselqos permet de gérer le firewall en effectuant diverses opérations : |
| ... | ... | @@ -77,7 +83,8 @@ basepeople = ou=people,dc=maisel,dc=enst-bretagne,dc=fr |
| 77 | 83 | basehosts = ou=machines,dc=resel,dc=enst-bretagne,dc=fr |
| 78 | 84 | ``` |
| 79 | 85 | |
| 80 | - |
|
| 86 | +Pour la mise à jour du champ lastDate il y a besoin d'une connexion avec un compte ayant des droits d'écriture sur ce champ. |
|
| 87 | +Pensez à vérifier que le serveur ldap remonte l'information sur le ldap principal (dans le cas de Rennes par exemple). |
|
| 81 | 88 | |
| 82 | 89 | ### MySQL |
| 83 | 90 | |
| ... | ... | @@ -205,6 +212,24 @@ Un fichier de log est présent : `/var/log/reselqos/reselqos.log` (par défaut), |
| 205 | 212 | log = /var/log/reselqos |
| 206 | 213 | ``` |
| 207 | 214 | |
| 215 | +Si des erreurs du type "xxx has juste arrived on the campus" sont multiples, pensez à vérifier que le script peut bien se co au LDAP est écrire dessus. |
|
| 216 | + |
|
| 217 | +Si des erreurs du type "cannot add, the ip is already present in the set", il s'agit de doublons ldap, sans incidence sur le fonctionnement du fw. |
|
| 218 | + |
|
| 219 | +### Test de la config |
|
| 220 | + |
|
| 221 | +Pour lancer un test de la config |
|
| 222 | + |
|
| 223 | +``` |
|
| 224 | +[firewall] |
|
| 225 | +test = 1 |
|
| 226 | +``` |
|
| 227 | + |
|
| 228 | +Et lancer `./qospam.py` afin d'avoir accès aux logs et au message d'erreur en direct. |
|
| 229 | + |
|
| 230 | +Cette option fait qu'aucune règle du fw ne sera inscrite dans iptables ou dans tc. |
|
| 231 | +A tester avant de relancer le service après une modif importante. Cela ne permet pas de tester les règles fw mais permet de vérifier que le script tourne sans erreur. |
|
| 232 | + |
|
| 208 | 233 | ## Partie technique |
| 209 | 234 | |
| 210 | 235 | ### Scripts |