c2397e3a2a5724434a0022c30db4b2cbd4125a0a
R\303\251seau/Firewall.md
... | ... | @@ -9,6 +9,12 @@ Le but du nouveau script pour le Firewall / Shapping est de fournir un firewall |
9 | 9 | |
10 | 10 | ## Les fonctionnalités |
11 | 11 | |
12 | +Le firewall gèrent plusieurs fonctionnalités: |
|
13 | +- Création des règles iptables (NAT, PAT, ...) |
|
14 | +- Gestion des règles tc (traffic control) pour gérer les débits et la qos |
|
15 | +- Mise à jour en fonction de l'inscription / suppression / paiement |
|
16 | +- Mise à jour du champ lastDate d'un userResel (nécessite un accès en ECRITURE au Ldap principal) |
|
17 | + |
|
12 | 18 | ### Paramètres du service |
13 | 19 | |
14 | 20 | Un service nommé reselqos permet de gérer le firewall en effectuant diverses opérations : |
... | ... | @@ -77,7 +83,8 @@ basepeople = ou=people,dc=maisel,dc=enst-bretagne,dc=fr |
77 | 83 | basehosts = ou=machines,dc=resel,dc=enst-bretagne,dc=fr |
78 | 84 | ``` |
79 | 85 | |
80 | - |
|
86 | +Pour la mise à jour du champ lastDate il y a besoin d'une connexion avec un compte ayant des droits d'écriture sur ce champ. |
|
87 | +Pensez à vérifier que le serveur ldap remonte l'information sur le ldap principal (dans le cas de Rennes par exemple). |
|
81 | 88 | |
82 | 89 | ### MySQL |
83 | 90 | |
... | ... | @@ -205,6 +212,24 @@ Un fichier de log est présent : `/var/log/reselqos/reselqos.log` (par défaut), |
205 | 212 | log = /var/log/reselqos |
206 | 213 | ``` |
207 | 214 | |
215 | +Si des erreurs du type "xxx has juste arrived on the campus" sont multiples, pensez à vérifier que le script peut bien se co au LDAP est écrire dessus. |
|
216 | + |
|
217 | +Si des erreurs du type "cannot add, the ip is already present in the set", il s'agit de doublons ldap, sans incidence sur le fonctionnement du fw. |
|
218 | + |
|
219 | +### Test de la config |
|
220 | + |
|
221 | +Pour lancer un test de la config |
|
222 | + |
|
223 | +``` |
|
224 | +[firewall] |
|
225 | +test = 1 |
|
226 | +``` |
|
227 | + |
|
228 | +Et lancer `./qospam.py` afin d'avoir accès aux logs et au message d'erreur en direct. |
|
229 | + |
|
230 | +Cette option fait qu'aucune règle du fw ne sera inscrite dans iptables ou dans tc. |
|
231 | +A tester avant de relancer le service après une modif importante. Cela ne permet pas de tester les règles fw mais permet de vérifier que le script tourne sans erreur. |
|
232 | + |
|
208 | 233 | ## Partie technique |
209 | 234 | |
210 | 235 | ### Scripts |