Browse Source

Correction d'erreurs et LDAP

master
Pierre Coimbra 1 year ago
parent
commit
e8288d5823
Signed by: pcoimbra GPG Key ID: F9C449C78F6FAEE6
18 changed files with 1370 additions and 1278 deletions
  1. +0
    -0
      PDF_présentation_auto-héhergement_Kr[HACK]en.pdf
  2. +3
    -1
      applicatif/README.md
  3. +2
    -1
      applicatif/zone_ctf/nginx_ctf.md
  4. +17
    -0
      applicatif/zone_dmz/dns.md
  5. +21
    -0
      applicatif/zone_dmz/haproxy.md
  6. +1
    -2
      applicatif/zone_dmz/proxy_interne.md
  7. +299
    -929
      applicatif/zone_interne/LDAP/interface_web_ldap.md
  8. +943
    -275
      applicatif/zone_interne/LDAP/serveur_ldap.md
  9. +9
    -17
      applicatif/zone_interne/gitea.md
  10. +24
    -12
      applicatif/zone_interne/mail.md
  11. +9
    -21
      applicatif/zone_interne/nextcloud.md
  12. +21
    -1
      applicatif/zone_proxy/nginx_principal.md
  13. +3
    -3
      deploiement/deploiement_avec_ansible.md
  14. +11
    -11
      deploiement/sources/zone_dmz/ct_dmz.yml
  15. +4
    -4
      deploiement/sources/zone_proxy/ct_proxy.yml
  16. +1
    -0
      proxmox/securisation/template_ferm.md
  17. +1
    -0
      reseau/mise_en_place.md
  18. +1
    -1
      reseau/topologie_globale.md

Présentation_auto-héhergement_Kr[HACK]en.pdf → PDF_présentation_auto-héhergement_Kr[HACK]en.pdf View File


+ 3
- 1
applicatif/README.md View File

@ -1,5 +1,7 @@
# Applicatif
Vous trouverez ici toute la documentation relative à la partie applicative. Les services sont découpés en plusieurs zones qui sont décrites dans le premier point. L'accès au réseau des services est décrit dans la partie réseau, il est donc impératif de mettre en place le réseau avant de s'occuper de l'applicatif.
Vous trouverez ici toute la documentation relative à la partie applicative. Les services sont découpés en plusieurs zones qui sont décrites dans le premier point.
L'accès au réseau des services est décrit dans la partie réseau, il est donc impératif de mettre en place le réseau avant de s'occuper de l'applicatif.
# Table des matières
1. [Répartition des services dans les zones](repartition_en_zones.md)


+ 2
- 1
applicatif/zone_ctf/nginx_ctf.md View File

@ -1,7 +1,8 @@
# Reverse proxy NGINX sur le réseau CTF
## Spécification du conteneur
Ce service n'est pas redondé car non vital. Il portera le numéro 145.
Ce service n'est pas redondé car non vital. Il portera le numéro 145 sur Beta.
#### Deux interfaces
- eth0 : vmbr1 / VLAN 40 / IP 10.0.3.3 / GW 10.0.2.254
- eth1 : vmbr2 / VLAN 100 / IP 10.1.0.145 / GW 10.1.0.254


+ 17
- 0
applicatif/zone_dmz/dns.md View File

@ -6,6 +6,23 @@ Il y a deux types principaux de configurations possible pour les serveurs DNS :
On conseille généralement de ne pas faire les deux sur un même serveur. En effet, une attaque peut être menée sur un serveur récursif ce qui impacterait le service d'autorité. Grâce à la gestion de vu pas de risque vu que seul les conteneurs / VM on accès au récursif.
## Le conteneur
Numéro 107 (Beta)
#### Trois interfaces
- eth0 : vmbr1 / VLAN 10 / IP 10.0.0.253 / GW 10.0.0.254
- eth1 : vmbr1 / VLAN 20 / IP 10.0.1.253 / GW 10.0.1.254
- eth2 : vmbr1 / VLAN 30 / IP 10.0.2.253 / GW 10.0.2.254
- eth3 : vmbr2 / VLAN 100 / IP 10.1.0.107 / GW 10.1.0.254
### Le proxy
#### /etc/apt/apt.conf.d/01proxy
```
Acquire::http {
Proxy "http://10.0.2.252:9999";
};
```
## Installation
Faites par le playbook Ansible.


+ 21
- 0
applicatif/zone_dmz/haproxy.md View File

@ -8,6 +8,27 @@ Deux conteneurs Debian 10 identiques, un sur Alpha l'autre sur Bêta avec deux i
- Sur Beta le conteneur HAProxy a comme IP 10.0.0.7/24 sur DMZ et 10.0.1.7/24 sur CTF
L'option Firewall PVE des interfaces est désactivée
## Le conteneur
Numéro 102 (Alpha)
#### Trois interfaces
- eth0 : vmbr1 / VLAN 10 / IP 10.0.0.6 / GW 10.0.0.254
- eth1 : vmbr1 / VLAN 20 / IP 10.0.1.1 / GW 10.0.1.254
- eth2 : vmbr2 / VLAN 100 / IP 10.1.0.102 / GW 10.1.0.254
Numéro 103 (Beta)
#### Trois interfaces
- eth0 : vmbr1 / VLAN 10 / IP 10.0.0.7 / GW 10.0.0.254
- eth1 : vmbr1 / VLAN 20 / IP 10.0.1.2 / GW 10.0.1.254
- eth2 : vmbr2 / VLAN 100 / IP 10.1.0.103 / GW 10.1.0.254
### Le proxy
#### /etc/apt/apt.conf.d/01proxy
```
Acquire::http {
Proxy "http://10.0.2.252:9999";
};
```
## Objectifs et choix techniques
Trois objectifs pour la gestion du flux post-firewall :


+ 1
- 2
applicatif/zone_dmz/proxy_interne.md View File

@ -5,11 +5,10 @@ Nous allons mettre en place un proxy interne pour permettre au services des zone
## Création du conteneur
Comme dit dans la partie déploiement, c'est le seul conteneur qu'il faut mettre en place manuellement. Avant de le mettre en place il faut avoir mis en place le réseau et générer la clé SSH du conteneur Ansible.
Pour mon installation ce conteneur porte le numéro 103.
Pour mon installation ce conteneur porte le numéro 104 sur Alpha.
Au niveau de la clé SSH, mettez celle que vous avez générer dans le conteneur Ansible. Elle se trouve dans `/root/.ssh/id_ed25519.pub`
Au niveau des ressources allouées :
- 2Gb de RAM
- 1Gb de SWAP


+ 299
- 929
applicatif/zone_interne/LDAP/interface_web_ldap.md
File diff suppressed because it is too large
View File


+ 943
- 275
applicatif/zone_interne/LDAP/serveur_ldap.md
File diff suppressed because it is too large
View File


+ 9
- 17
applicatif/zone_interne/gitea.md View File

@ -1,7 +1,7 @@
# Gitea
## Le conteneur
Numéro 121
Numéro 121 (Beta)
#### Deux interfaces
- eth0 : vmbr1 / VLAN 30 / IP 10.0.2.21 / GW 10.0.2.254
- eth1 : vmbr2 / VLAN 100 / IP 10.1.0.121 / GW 10.1.0.254
@ -58,26 +58,22 @@ ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f schemagit.ldif -ZZ
Ce .ldif permet d'ajouter un nouvel utilisateur dans l'anuaire LDAP et de lui autorisé l'accès au mail et au cloud.
### addusermailcloudgit.ldif
Pour GROUPE :
- ou=krhacken,ou=people -> Membre actif du club
- ou=people -> Le reste
```
dn: uid=new,GROUPE,dc=krhacken,dc=org
dn: uid=identifiant,ou=krhacken,ou=people,dc=krhacken,dc=org
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: mailaccountkrhacken
objectclass: cloudaccountkrhacken
objectclass: gitaccountkrhacken
uid: new
sn: new
givenName: new
cn: new
displayName: new
uid: identifiant
cn: Prénom
sn: Nom
displayName: Nom d'affichage
userPassword: PASSWORD
mail: new@krhacken.org
mailaccountquota: 0
mail: identifiant@krhacken.org
mailaccountquota: 2147483648
mailaccountactif: YES
cloudaccountquota: 5GB
cloudaccountactif: YES
@ -92,12 +88,8 @@ ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f addusermailcloudgi
Permet d'ajouter la classe cloudaccountkrhacken à un utilisateur, il pourra ensuite utiliser NextCloud.
### addtogit.ldif
Pour GROUPE :
- ou=krhacken,ou=people -> Membre actif du club
- ou=people -> Le reste
```
dn: uid=adminsys,GROUPE,dc=krhacken,dc=org
dn: uid=adminsys,ou=krhacken,ou=people,dc=krhacken,dc=org
changetype: modify
add: objectclass
objectclass: gitaccountkrhacken


+ 24
- 12
applicatif/zone_interne/mail.md View File

@ -3,6 +3,20 @@ Nous allons ici mettre en place tout un service de mail qui va utiliser LDAP, Po
Il faut avoir établie une connexion TLS avec le serveur LDAP, la marche à suivre est disponible dans la partie LDAP (à la toute fin).
## Le conteneur
Numéro 111 (Alpha)
#### Deux interfaces
- eth0 : vmbr1 / VLAN 30 / IP 10.0.2.11 / GW 10.0.2.254
- eth1 : vmbr2 / VLAN 100 / IP 10.1.0.111 / GW 10.1.0.254
### Le proxy
#### /etc/apt/apt.conf.d/01proxy
```
Acquire::http {
Proxy "http://10.0.2.252:9999";
};
```
# Configuration du serveur LDAP
Le serveur LDAP est déjà en place sur le conteneur LDAP il faut cependant faire ce qu'il suit pour ajouter le support des mails sur LDAP.
@ -55,19 +69,18 @@ Ce .ldif permet d'ajouter un nouvel utilisateur dans l'anuaire LDAP et de lui au
### adduser.ldif
```
dn: uid=new,ou=people,dc=krhacken,dc=org
dn: uid=identifiant,ou=krhacken,ou=people,dc=krhacken,dc=org
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: mailaccountkrhacken
uid: new
sn: new
givenName: new
cn: new
displayName: new
uid: identifiant
cn: Prénom
sn: Nom
displayName: Nom d'affichage
userPassword: PASSWORD
mail: new@krhacken.org
mailaccountquota: 0
mail: identifiant@krhacken.org
mailaccountquota: 2147483648
mailaccountactif: YES
```
```
@ -79,15 +92,14 @@ ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f adduser.ldif -ZZ
Permet d'ajouter la classe mailaccountkrhacken à un utilisateur, il pourra ensuite utilisé le service.
### addtomail.ldif
Pour le groupe, soit krhacken soit people.
```
dn: uid=NAME,ou=GROUP,dc=krhacken,dc=org
dn: uid=NAME,ou=krhacken,ou=people,dc=krhacken,dc=org
changetype: modify
add: objectclass
objectclass: mailaccountkrhacken
-
add: mailaccountquota
mailaccountquota: 0
mailaccountquota: 2147483648
-
add: mailaccountactif
mailaccountactif: YES
@ -96,7 +108,7 @@ mailaccountactif: YES
ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f addtomail.ldif -ZZ
```
On crée dès maintenant une adresse adminsys@krhacken.org, c'est impératif pour la suite.
On ajoute crée dès maintenant l'adresse adminsys@krhacken.org avec une template fournis. C'est impératif pour la suite.
## Ajout d'un alias pour le postmaster


+ 9
- 21
applicatif/zone_interne/nextcloud.md View File

@ -3,7 +3,7 @@
Mise en place du conteneur pour NextCloud et intégration à l'annuaire LDAP.
## Le conteneur
Numéro 120
Numéro 120 (Beta)
#### Deux interfaces
- eth0 : vmbr1 / VLAN 30 / IP 10.0.2.20 / GW 10.0.2.254
- eth1 : vmbr2 / VLAN 100 / IP 10.1.0.120 / GW 10.1.0.254
@ -50,25 +50,20 @@ ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f schemacloud.ldif -
Ce .ldif permet d'ajouter un nouvel utilisateur dans l'anuaire LDAP et de lui autorisé l'accès au mail et au cloud.
### addusermailcloud.ldif
Pour GROUPE :
- ou=krhacken,ou=people -> Membre actif du club
- ou=people -> Le reste
```
dn: uid=new,GROUPE,dc=krhacken,dc=org
dn: uid=identifiant,ou=krhacken,ou=people,dc=krhacken,dc=org
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: mailaccountkrhacken
objectclass: cloudaccountkrhacken
uid: new
sn: new
givenName: new
cn: new
displayName: new
uid: identifiant
cn: Prénom
sn: Nom
displayName: Nom d'affichage
userPassword: PASSWORD
mail: new@krhacken.org
mailaccountquota: 0
mail: identifiant@krhacken.org
mailaccountquota: 2147483648
mailaccountactif: YES
cloudaccountquota: 5GB
cloudaccountactif: YES
@ -82,12 +77,8 @@ ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f addusermailcloud.l
Permet d'ajouter la classe cloudaccountkrhacken à un utilisateur, il pourra ensuite utiliser NextCloud.
### addtocloud.ldif
Pour GROUPE :
- ou=krhacken,ou=people -> Membre actif du club
- ou=people -> Le reste
```
dn: uid=NAME,GROUPE,dc=krhacken,dc=org
dn: uid=NAME,ou=krhacken,ou=people,dc=krhacken,dc=org
changetype: modify
add: objectclass
objectclass: cloudaccountkrhacken
@ -107,9 +98,6 @@ Lister les utilisateurs :
ldapsearch -xLLL -H ldap://vip.ldap.krhacken.org -D cn=admin,dc=krhacken,dc=org -y /root/pwdldap -b "ou=people,dc=krhacken,dc=org" "(&(objectClass=cloudaccountkrhacken))" -ZZ
```
## Installation des prérequis
```
apt-get install -y postgresql postgresql-contrib nginx php7.3-cli php7.3-common php7.3-mbstring php7.3-gd php-imagick php7.3-intl php7.3-bz2 php7.3-xml php7.3-pgsql php7.3-zip php7.3-dev php7.3-curl php7.3-fpm php-dompdf redis-server php-redis php-smbclient php7.3-ldap wget curl sudo unzip


+ 21
- 1
applicatif/zone_proxy/nginx_principal.md View File

@ -1,7 +1,27 @@
# Reverse proxy NGINX sur le réseau public
## Spécification des conteneurs
Ce service est redondé car vital, son IP est 10.0.1.3 sur Alpha et 10.0.1.4 sur Beta.
Ce service est redondé car vital, il n'a pas d'IP virtuelle.
Numéro 105 (Alpha)
#### Trois interfaces
- eth0 : vmbr1 / VLAN 20 / IP 10.0.1.3 / GW 10.0.1.254
- eth1 : vmbr1 / VLAN 30 / IP 10.0.2.4 / GW 10.0.2.254
- eth2 : vmbr2 / VLAN 100 / IP 10.1.0.105 / GW 10.1.0.254
Numéro 106 (Beta)
#### Trois interfaces
- eth0 : vmbr1 / VLAN 20 / IP 10.0.1.4 / GW 10.0.1.254
- eth1 : vmbr1 / VLAN 30 / IP 10.0.2.5 / GW 10.0.2.254
- eth2 : vmbr2 / VLAN 100 / IP 10.1.0.106 / GW 10.1.0.254
### Le proxy
#### /etc/apt/apt.conf.d/01proxy
```
Acquire::http {
Proxy "http://10.0.2.252:9999";
};
```
## Objectif
Il doit rediriger les requêtes arrivant de HAProxy vers le bon conteneur en fonction de l'hostname. Pour cela nous allons utiliser des serveurs web HTTP avec des proxy sur Nginx sans s'occuper de l'autre serveur web.


+ 3
- 3
deploiement/deploiement_avec_ansible.md View File

@ -73,11 +73,11 @@ Voici les tâches à réaliser avant de lancer le playbook.
Ajoutez
```
[haproxy]
10.1.0.100 #HAProxy Alpha
10.1.0.101 #HAProxy Beta
10.1.0.102 #HAProxy Alpha
10.1.0.103 #HAProxy Beta
[dns]
10.1.0.106 #DNS
10.1.0.107 #DNS
[zonedmz:children]
haproxy


+ 11
- 11
deploiement/sources/zone_dmz/ct_dmz.yml View File

@ -1,7 +1,7 @@
# HAProxy et DNS
# HAProxy Master (CT100) : 10.0.0.6 | 10.0.1.1 | 10.0.3.1 | 10.1.0.100
# HAProxy Slave (CT101) : 10.0.0.7 | 10.0.1.2 10.0.3.2 | 10.1.0.101
# DNS (CT106): 10.0.0.253 | | 10.0.1.253 | 10.0.2.253 | 10.1.0.106
# HAProxy Master (CT102) : 10.0.0.6 | 10.0.1.1 | 10.0.3.1 | 10.1.0.102
# HAProxy Slave (CT103) : 10.0.0.7 | 10.0.1.2 10.0.3.2 | 10.1.0.103
# DNS (CT107): 10.0.0.253 | | 10.0.1.253 | 10.0.2.253 | 10.1.0.107
# Gateway 10.0.0.0/24 -> 10.0.0.254
# Gateway 10.0.1.0/24 -> 10.0.1.254
# Gateway 10.0.3.0/24 -> 10.0.3.254
@ -32,11 +32,11 @@
ostemplate: 'local:vztmpl/debian-10.0-standard_10.0-1_amd64.tar.gz'
password: "{{ pass_haproxy_master }}"
hostname: HAProxyMaster
vmid: 101
vmid: 102
onboot: yes
unprivileged: yes
nameserver: '10.0.0.253'
netif: '{"net0":"name=eth0,ip=10.0.0.6/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.1/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.3.1/24,gw=10.0.3.254,bridge=vmbr1,tag=40","net3":"name=eth3,ip=10.1.0.101/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
netif: '{"net0":"name=eth0,ip=10.0.0.6/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.1/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.3.1/24,gw=10.0.3.254,bridge=vmbr1,tag=40","net3":"name=eth3,ip=10.1.0.102/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
pubkey: "{{ ssh_pub }}"
state: present
@ -55,11 +55,11 @@
ostemplate: 'local:vztmpl/debian-10.0-standard_10.0-1_amd64.tar.gz'
password: "{{ pass_haproxy_slave }}"
hostname: HAProxySlave
vmid: 102
vmid: 103
onboot: yes
unprivileged: yes
nameserver: '10.0.0.253'
netif: '{"net0":"name=eth0,ip=10.0.0.7/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.2/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.3.2/24,gw=10.0.3.254,bridge=vmbr1,tag=40","net3":"name=eth3,ip=10.1.0.102/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
netif: '{"net0":"name=eth0,ip=10.0.0.7/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.2/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.3.2/24,gw=10.0.3.254,bridge=vmbr1,tag=40","net3":"name=eth3,ip=10.1.0.103/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
pubkey: "{{ ssh_pub }}"
state: present
@ -78,11 +78,11 @@
ostemplate: 'local:vztmpl/debian-10.0-standard_10.0-1_amd64.tar.gz'
password: "{{ pass_dns }}"
hostname: DNS
vmid: 106
vmid: 107
onboot: yes
unprivileged: yes
nameserver: '80.67.169.12,80.67.169.40'
netif: '{"net0":"name=eth0,ip=10.0.0.253/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.253/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.2.253/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.106/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
netif: '{"net0":"name=eth0,ip=10.0.0.253/24,gw=10.0.0.254,bridge=vmbr1,tag=10","net1":"name=eth1,ip=10.0.1.253/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net2":"name=eth2,ip=10.0.2.253/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.107/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
pubkey: "{{ ssh_pub }}"
state: present
@ -94,9 +94,9 @@
vmid: "{{ item }}"
state: started
with_items:
- '101'
- '102'
- '106'
- '103'
- '107'
# Pas de config des proxy car sur accès au net depuis la DMZ.


+ 4
- 4
deploiement/sources/zone_proxy/ct_proxy.yml View File

@ -1,6 +1,6 @@
# NGINX REVERSE
# Nginx Alpha (CT104) : 10.0.1.3 | 10.0.2.4 | 10.1.0.104
# Nginx Beta (CT105) : 10.0.1.4 | 10.0.2.5 | 10.1.0.105
# Nginx Alpha (CT105) : 10.0.1.3 | 10.0.2.4 | 10.1.0.105
# Nginx Beta (CT106) : 10.0.1.4 | 10.0.2.5 | 10.1.0.106
# Gateway 10.0.1.0/24 -> 10.0.1.254
# Gateway 10.0.2.0/24 -> 10.0.2.254
# Gateway 10.1.0.0/24 -> 10.1.0.254
@ -34,7 +34,7 @@
onboot: yes
unprivileged: yes
nameserver: '10.0.1.253'
netif: '{"net0":"name=eth0,ip=10.0.1.3/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net1":"name=eth1,ip=10.0.2.4/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.104/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
netif: '{"net0":"name=eth0,ip=10.0.1.3/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net1":"name=eth1,ip=10.0.2.4/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.105/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
pubkey: "{{ ssh_pub }}"
state: present
@ -57,7 +57,7 @@
onboot: yes
unprivileged: yes
nameserver: '10.0.1.253'
netif: '{"net0":"name=eth0,ip=10.0.1.4/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net1":"name=eth1,ip=10.0.2.5/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.105/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
netif: '{"net0":"name=eth0,ip=10.0.1.4/24,gw=10.0.1.254,bridge=vmbr1,tag=20","net1":"name=eth1,ip=10.0.2.5/24,gw=10.0.2.254,bridge=vmbr1,tag=30","net3":"name=eth3,ip=10.1.0.106/24,gw=10.1.0.254,bridge=vmbr2,tag=100"}'
pubkey: "{{ ssh_pub }}"
state: present


+ 1
- 0
proxmox/securisation/template_ferm.md View File

@ -26,6 +26,7 @@ La template utilise des paramètres pour éviter d'avoir à modifier la configur
- IF_ADMIN : Nom de l'interface d'administration
- IF_FRONT : Nom du point d'entrée principal sur le conteneur
- IF_BACK : Liste des interfaces secondaire, ne doit inclure ni l'interface administration ni les interfaces qui n'ont pas besoin de règles autre que DROP.
- IF_VRRP : Nom de l'interface ayant besoin d'utiliser le protocole VRRP, mettre NEED_VRRP à 1 si besoin de VRRP.
#### Ports TCP ouverts
- HAVE_BACK_ACCESS : Doit accéder à des conteneurs qui sont sur des interfaces secondaires


+ 1
- 0
reseau/mise_en_place.md View File

@ -43,6 +43,7 @@ Switch Interne VLAN 30
- Nginx Public Beta : 10.0.2.5
- Mail Frontend : 10.0.2.10
- Mail Backend : 10.0.2.11
- LDAP WebUI : 10.0.2.15
- Nextcloud : 10.0.2.20
- Gitea : 10.0.2.21
- [...]


+ 1
- 1
reseau/topologie_globale.md View File

@ -1,7 +1,7 @@
# Topologie globale de l'infrastructure
Le réseau sera découpé en deux sous-réseaux matérialisés par des switchs virtuels : le réseau interne accessible directement depuis l'extérieur et le réseau d'administration accessible uniquement via un VPN.
## Schéma simplifié
## Schéma simplifié de la zone interne
![Topologie du réseau](topologie_reseau.png)


Loading…
Cancel
Save