Et si nous gérions nos ACLs différemment ? En séparant la définition des réseaux et des services, et les autorisations. C’est ce que propose Capirca, un outil de génération d’ACLs initié par Google, qui supporte plusieurs plateformes comme Juniper, Cisco et Iptables.
1. Les ACLs
Les Access Control List (ACL) réseau sont un ensemble de règles, qui interprétées une à une, permettent d’autoriser ou d’interdire les accès à des adresses, ports, etc.
Sous Linux, nous connaissons le couple Netfilter/Iptables avec des règles de ce style :
iptables -I INPUT -p tcp --destination-port 22 -j ACCEPT
Celle-ci permet d’autoriser une connexion entrante sur le port 22 (ssh). Au niveau des options, on a -I pour --insert qui insère la règle dans la chaîne INPUT, -p pour --protocol pour filtrer sur le protocole utilisé tcp, udp, icmp... ou all, ou sa représentation numérique et enfin -j pour --jump pour indiquer la cible, ici ACCEPT pour accepter la connexion.
Nous retrouvons...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première