Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr mailto:figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Le problème de webmin c'est qu'il fait trop de chose pour le besoin dont on à... besoin ^^ fwbuilder c'est du client lourd :/ en plus des collègues sont sous windows donc même si il existe un version win, ils vont galérer avec ssh ://
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "gpkfr" gpkfr@imelbox.com À: "figuiere clement" figuiere.clement@free.fr Cc: frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:17:30 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr mailto:figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles- iptables-dun-parc-de-serveurs-netfilter-manager/
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira l'interface graphique. Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion des conf via une interface (firewall builder) pour finalement finir à la mano :)
Bon courage
Le 21 décembre 2016 à 16:52, Landry Minoza landry.minoza+frsag@gmail.com a écrit :
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-ipt ables-dun-parc-de-serveurs-netfilter-manager/
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces réponses n'aient pas poppées en premier ^^
Maintenant, ça sait même parler à certaines blackbox, appliances, cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui me concerne. Pour le coté interface UI, bah j'ai tendance à croire que c'est plus forcement nécéssaire quand tu te contente de manipuler du YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.
-- MrJK GPG: https://jeznet.org/jez.asc
Le 21 décembre 2016 à 16:59, babounx baboun babounx@gmail.com a écrit :
Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira l'interface graphique. Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion des conf via une interface (firewall builder) pour finalement finir à la mano :)
Bon courage
Le 21 décembre 2016 à 16:52, Landry Minoza landry.minoza+frsag@gmail.com a écrit :
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli:
https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Oui mais l'ui est "obligatoire" dans le sens ou nous sommes plusieurs admin dans le bureau mais seulement deux sous linux, les autres sous win donc manquent d'outils... Une petite ui web est donc nécessaire afin de faciliter l'utilisation pour tout le monde.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Mrjk" mrjk.78@gmail.com À: "babounx baboun" babounx@gmail.com, "figuiere clement" figuiere.clement@free.fr Cc: "Landry Minoza" landry.minoza+frsag@gmail.com, "French SysAdmin Group" frsag@frsag.org Envoyé: Lundi 26 Décembre 2016 15:07:46 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces réponses n'aient pas poppées en premier ^^
Maintenant, ça sait même parler à certaines blackbox, appliances, cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui me concerne. Pour le coté interface UI, bah j'ai tendance à croire que c'est plus forcement nécéssaire quand tu te contente de manipuler du YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.
-- MrJK GPG: https://jeznet.org/jez.asc
Le 21 décembre 2016 à 16:59, babounx baboun babounx@gmail.com a écrit :
Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira l'interface graphique. Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion des conf via une interface (firewall builder) pour finalement finir à la mano :)
Bon courage
Le 21 décembre 2016 à 16:52, Landry Minoza landry.minoza+frsag@gmail.com a écrit :
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli:
https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Ok, je comprends. Au risque de faire un HS, il existerait ça: https://github.com/ansible-semaphore/semaphore , qui est une alternative à Ansible Tower, mais je n'ai pas encore testé, donc pas sure que ça réponde à ton besoin. Coté Puppet, on va trouver Foreman, mais bon, c'est un peu une usine à gaz à mon sens ...
A part coder ta petite webapp, je vois plus trop et je laisse la place aux suivants ;) -- MrJK GPG: https://jeznet.org/jez.asc
Le 26 décembre 2016 à 15:16, figuiere.clement@free.fr a écrit :
Oui mais l'ui est "obligatoire" dans le sens ou nous sommes plusieurs admin dans le bureau mais seulement deux sous linux, les autres sous win donc manquent d'outils... Une petite ui web est donc nécessaire afin de faciliter l'utilisation pour tout le monde.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Mrjk" mrjk.78@gmail.com À: "babounx baboun" babounx@gmail.com, "figuiere clement" figuiere.clement@free.fr Cc: "Landry Minoza" landry.minoza+frsag@gmail.com, "French SysAdmin Group" frsag@frsag.org Envoyé: Lundi 26 Décembre 2016 15:07:46 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces réponses n'aient pas poppées en premier ^^
Maintenant, ça sait même parler à certaines blackbox, appliances, cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui me concerne. Pour le coté interface UI, bah j'ai tendance à croire que c'est plus forcement nécéssaire quand tu te contente de manipuler du YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.
-- MrJK GPG: https://jeznet.org/jez.asc
Le 21 décembre 2016 à 16:59, babounx baboun babounx@gmail.com a écrit :
Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira l'interface graphique. Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion des conf via une interface (firewall builder) pour finalement finir à la mano :)
Bon courage
Le 21 décembre 2016 à 16:52, Landry Minoza landry.minoza+frsag@gmail.com a écrit :
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli:
https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Merci je vais checker ca mais je pense que oui, je vais dev quelque chose de simple, juste pour notre besoin. En plus ca m'amuse ^^
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Mrjk" mrjk.78@gmail.com À: "figuiere clement" figuiere.clement@free.fr Cc: "Landry Minoza" landry.minoza+frsag@gmail.com, "French SysAdmin Group" frsag@frsag.org, "babounx baboun" babounx@gmail.com Envoyé: Lundi 26 Décembre 2016 15:21:57 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Ok, je comprends. Au risque de faire un HS, il existerait ça: https://github.com/ansible-semaphore/semaphore , qui est une alternative à Ansible Tower, mais je n'ai pas encore testé, donc pas sure que ça réponde à ton besoin. Coté Puppet, on va trouver Foreman, mais bon, c'est un peu une usine à gaz à mon sens ...
A part coder ta petite webapp, je vois plus trop et je laisse la place aux suivants ;) -- MrJK GPG: https://jeznet.org/jez.asc
Le 26 décembre 2016 à 15:16, figuiere.clement@free.fr a écrit :
Oui mais l'ui est "obligatoire" dans le sens ou nous sommes plusieurs admin dans le bureau mais seulement deux sous linux, les autres sous win donc manquent d'outils... Une petite ui web est donc nécessaire afin de faciliter l'utilisation pour tout le monde.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Mrjk" mrjk.78@gmail.com À: "babounx baboun" babounx@gmail.com, "figuiere clement" figuiere.clement@free.fr Cc: "Landry Minoza" landry.minoza+frsag@gmail.com, "French SysAdmin Group" frsag@frsag.org Envoyé: Lundi 26 Décembre 2016 15:07:46 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces réponses n'aient pas poppées en premier ^^
Maintenant, ça sait même parler à certaines blackbox, appliances, cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui me concerne. Pour le coté interface UI, bah j'ai tendance à croire que c'est plus forcement nécéssaire quand tu te contente de manipuler du YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.
-- MrJK GPG: https://jeznet.org/jez.asc
Le 21 décembre 2016 à 16:59, babounx baboun babounx@gmail.com a écrit :
Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira l'interface graphique. Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion des conf via une interface (firewall builder) pour finalement finir à la mano :)
Bon courage
Le 21 décembre 2016 à 16:52, Landry Minoza landry.minoza+frsag@gmail.com a écrit :
Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça : https://github.com/conix-security/springbok, c’est loin d’être parfait, mais c’est un début…
2016-12-21 16:41 GMT+01:00 Stéphane Cottin stephane.cottin@vixns.com:
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03 Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli:
https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Oui, unpeu hors sujet car trop poussé pour le but final, mais néanmoins très intéressant :)
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
Je sent que ca va finir comme ca, c'est d'ailleurs ce que j'ai proposé en premier mais au dessus on m'a dit qu'on préférait si possible un outil déjà existant.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Stéphane Cottin" stephane.cottin@vixns.com À: "gpkfr" gpkfr@imelbox.com Cc: "figuiere clement" figuiere.clement@free.fr, frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:41:38 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Merci à tous pour vos réponses, je n'ai pas encore eu le temps de tout regarder. Je reviens vers vous si jamais je trouve ou si j'écris une petite interface.
Bonne semaine à tous les admins :)
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "figuiere clement" figuiere.clement@free.fr À: "Stéphane Cottin" stephane.cottin@vixns.com Cc: frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 17:00:28 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Oui, unpeu hors sujet car trop poussé pour le but final, mais néanmoins très intéressant :)
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
Je sent que ca va finir comme ca, c'est d'ailleurs ce que j'ai proposé en premier mais au dessus on m'a dit qu'on préférait si possible un outil déjà existant.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Stéphane Cottin" stephane.cottin@vixns.com À: "gpkfr" gpkfr@imelbox.com Cc: "figuiere clement" figuiere.clement@free.fr, frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:41:38 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
FacileManager ( http://www.facilemanager.com/ ) à un module Firewall pour iptables. Je ne l'ai pas testé donc j'ignore si cela conviendrait en dehors du fait que c'est avec un serveur central en interface web et que ça gère iptables.
http://www.facilemanager.com/modules/fmfirewall/
J'ai testé leur module DNS, qui marche pas mal et ils ont été assez réactifs sur les deux problèmes que je leur ait remontés.
Cordialement, Aubin Galinotti
Le 26/12/2016 à 10:09, figuiere.clement@free.fr a écrit :
Merci à tous pour vos réponses, je n'ai pas encore eu le temps de tout regarder. Je reviens vers vous si jamais je trouve ou si j'écris une petite interface.
Bonne semaine à tous les admins :)
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "figuiere clement" figuiere.clement@free.fr À: "Stéphane Cottin" stephane.cottin@vixns.com Cc: frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 17:00:28 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Oui, unpeu hors sujet car trop poussé pour le but final, mais néanmoins très intéressant :)
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
Je sent que ca va finir comme ca, c'est d'ailleurs ce que j'ai proposé en premier mais au dessus on m'a dit qu'on préférait si possible un outil déjà existant.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Stéphane Cottin" stephane.cottin@vixns.com À: "gpkfr" gpkfr@imelbox.com Cc: "figuiere clement" figuiere.clement@free.fr, frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:41:38 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Yeaah ca m'a l'air pas mal du tout ca. Sinon j'ai commencé à dev un petit truc très très simple, en prototype pour l'instant, ca donnerait ca:
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Aubin Galinotti" noxin.frsag@zorlit.org À: frsag@frsag.org Envoyé: Jeudi 29 Décembre 2016 15:06:09 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Bonjour,
FacileManager ( http://www.facilemanager.com/ ) à un module Firewall pour iptables. Je ne l'ai pas testé donc j'ignore si cela conviendrait en dehors du fait que c'est avec un serveur central en interface web et que ça gère iptables.
http://www.facilemanager.com/modules/fmfirewall/
J'ai testé leur module DNS, qui marche pas mal et ils ont été assez réactifs sur les deux problèmes que je leur ait remontés.
Cordialement, Aubin Galinotti
Le 26/12/2016 à 10:09, figuiere.clement@free.fr a écrit :
Merci à tous pour vos réponses, je n'ai pas encore eu le temps de tout regarder. Je reviens vers vous si jamais je trouve ou si j'écris une petite interface.
Bonne semaine à tous les admins :)
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "figuiere clement" figuiere.clement@free.fr À: "Stéphane Cottin" stephane.cottin@vixns.com Cc: frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 17:00:28 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Oui, unpeu hors sujet car trop poussé pour le but final, mais néanmoins très intéressant :)
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
Je sent que ca va finir comme ca, c'est d'ailleurs ce que j'ai proposé en premier mais au dessus on m'a dit qu'on préférait si possible un outil déjà existant.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Stéphane Cottin" stephane.cottin@vixns.com À: "gpkfr" gpkfr@imelbox.com Cc: "figuiere clement" figuiere.clement@free.fr, frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:41:38 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir tout le monde,
Il y a un petit moment, je cherchais la même chose mais en rest api et j'avais trouvé rfw :
https://github.com/securitykiss-com/rfw
Alors maintenant, pourquoi je l'ai gardé en stock : - full python - pas obligé de l'installer via pip - les clients autorisés à utiliser la rest api sont obligatoirement filtrés par whitelist des ips - licence mit
Seul point qu'il faudrait améliorer : - utiliser autre chose que des clés rsa 2048
J'espère que ça pourra en intéresser parce que cela correspond à la question.
Bonne soirée tout le monde
Florent
Envoyé de mon iPhone
Le 29 déc. 2016 à 15:13, figuiere.clement@free.fr a écrit :
Yeaah ca m'a l'air pas mal du tout ca. Sinon j'ai commencé à dev un petit truc très très simple, en prototype pour l'instant, ca donnerait ca:
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Aubin Galinotti" noxin.frsag@zorlit.org À: frsag@frsag.org Envoyé: Jeudi 29 Décembre 2016 15:06:09 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Bonjour,
FacileManager ( http://www.facilemanager.com/ ) à un module Firewall pour iptables. Je ne l'ai pas testé donc j'ignore si cela conviendrait en dehors du fait que c'est avec un serveur central en interface web et que ça gère iptables.
http://www.facilemanager.com/modules/fmfirewall/
J'ai testé leur module DNS, qui marche pas mal et ils ont été assez réactifs sur les deux problèmes que je leur ait remontés.
Cordialement, Aubin Galinotti
Le 26/12/2016 à 10:09, figuiere.clement@free.fr a écrit : Merci à tous pour vos réponses, je n'ai pas encore eu le temps de tout regarder. Je reviens vers vous si jamais je trouve ou si j'écris une petite interface.
Bonne semaine à tous les admins :)
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "figuiere clement" figuiere.clement@free.fr À: "Stéphane Cottin" stephane.cottin@vixns.com Cc: frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 17:00:28 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Oui, unpeu hors sujet car trop poussé pour le but final, mais néanmoins très intéressant :)
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
Je sent que ca va finir comme ca, c'est d'ailleurs ce que j'ai proposé en premier mais au dessus on m'a dit qu'on préférait si possible un outil déjà existant.
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
----- Mail original ----- De: "Stéphane Cottin" stephane.cottin@vixns.com À: "gpkfr" gpkfr@imelbox.com Cc: "figuiere clement" figuiere.clement@free.fr, frsag@frsag.org Envoyé: Mercredi 21 Décembre 2016 16:41:38 Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
Peut être un peu hors sujet, mais je tente qd même :)
J'utilise calico depuis peu de temps, et il permet de gérer des profiles / policies réseau de façon centralisée pour docker ou des clusters mesos / kubernetes / openstack. Connu pour gérer routage dans un monde de containers, il sait également gérer des interfaces physiques (hostendpoints).
Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré cela, mes premières impressions sont bonnes, cela semble robuste et bien pensé, on verra comment il se comporte lors des partitions réseau / attaques / pannes de la vraie vie.
Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui proposerait presque toutes les options possibles.
Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton besoin qui parle directement à etcd.
On 21 Dec 2016, at 16:17, gpkfr wrote:
il me semble qu’il y a un module webmin (mais bon ;) ) Peut-être en utilisant Fwbuilder via ssh ?
figuiere.clement@free.fr 21 décembre 2016 à 16:03
Bonjour la liste !!
Je suis à la recherche d'une interface web pour une gestion centralisée d'iptables, je m'explique:
Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur différentes machines, un truc du genre
srvCli--->fw1--->fw2--->fw3--->srvTarg
Pour l'instant la méthode est simple, du traceroute depuis le premier, un tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le flux et ainsi de suite. Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs src différentes...
Voilà pourquoi je cherche une interface qui me permettrait d'être connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et même endroit.
J'ai fais quelque recherches mais je ne trouve rien à part un outils en cli: https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-d...
Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca m'arrangerait.
Merci d'avance les admins !!
Cordialement,
FIGUIERE Clément. .--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/ <kfw_maker.jpg> _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
"Florent H. CARRÉ (COLUNDRUM)" -
Aubin Galinotti -
babounx baboun -
figuiere.clement@free.fr -
gpkfr -
Landry Minoza -
Mrjk -
Stéphane Cottin