Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sysadmin:linux:serveur-ntp [2022/01/06 21:55] – yoann
+++ sysadmin:linux:serveur-ntp [2022/01/08 18:48] (Version actuelle) – yoann
@@ Ligne 131: / Ligne 131: @@
 ===== Paramétrage du pare-feu =====
-Si l'on souhaite contrôler précisément le trafic NTP au tarvers un pare-feu restrictif, il est possible de créer des règles exploitant les ensembles (ipsets).
+Si l'on souhaite contrôler précisément le trafic NTP au travers d'un pare-feu restrictif, il est possible de créer des règles exploitant les ensembles (ipsets).
-creation d'un ensemble ipset
+création d'un ensemble ipset
 <code bash>
@@ Ligne 144: / Ligne 144: @@
 dig +short 2.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
 dig +short 3.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
 </code>
-Création/test des règles iptable
+Création/test des règles netfilter
 <code bash>
 # Journalise le trafic NTP sortant
@@ Ligne 154: / Ligne 155: @@
 iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ACCEPT
 </code>
+Si le système utilise **UFW**, on ne peut pas créer directement de règle exploitant les ipset via la commande **ufw**. Néanmoins il est possible d'intégrer des règles iptables au framework UFW en les ajoutant dans le fichier **/etc/ufw/after.rules**. Ce fichier script, s'il est exécutable est utilisé par lors du démarrage/arrêt du pare-feu UFW.
+<code bash>
+# Rendre le script exécutable pour qu'il soit automatiquement appelé par ufw-init
+chmod ug+x /etc/ufw/after.rules
+# Sauvegarder les ensembles existants pour qu'ils puissent être rechargés
+ipset save > /etc/ufw/sets.ipset
+</code>
+Modifier le fichier **/etc/ufw/after.rules**, dans la section start, on reconstruit les ensembles ipset à partir du fichier de sauvegarde puis on crée les règles via les appels **iptable**. Dans la section stop, les ensembles sont détruits.
+<file bash after.rules>
+#
+# Copyright 2013 Canonical Ltd.
+#
+#    This program is free software: you can redistribute it and/or modify
+#    it under the terms of the GNU General Public License version 3,
+#    as published by the Free Software Foundation.
+#
+#    This program is distributed in the hope that it will be useful,
+#    but WITHOUT ANY WARRANTY; without even the implied warranty of
+#    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+#    GNU General Public License for more details.
+#
+#    You should have received a copy of the GNU General Public License
+#    along with this program.  If not, see <http://www.gnu.org/licenses/>.
+#
+set -e
+case "$1" in
+start)
+    # typically required
+    if [ -r /etc/ufw/sets.ipset ]
+    then
+      ipset -f /etc/ufw/sets.ipset restore
+      # Journalise et autorise le trafic NTP a destination des serveurs des pools *.fr.pool.ntp.org
+      iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ufw-logging-allow -m comment --comment "Autorise trafic NTP vers fr.pool.ntp.org"
+      iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ACCEPT -m comment --comment "Autorise trafic NTP vers fr.pool.ntp.org"
+    fi
+    ;;
+stop)
+    # typically required
+    ipset destroy
+    ;;
+status)
+    # optional
+    ;;
+flush-all)
+    # optional
+    ;;
+*)
+    echo "'$1' not supported"
+    echo "Usage: after.init {start|stop|flush-all|status}"
+    ;;
+esac
+</file>
 ===== Troubleshooting =====

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page