Projet

Général

Profil

Tâche #17141

Distribution EOLE - Scénario #19809: Assistance aux utilisateurs (13-15)

Erreur lors de la génération des regles de pare-feu pour les interfaces 1 et 2

Ajouté par Jean-Marc MELET il y a plus de 7 ans. Mis à jour il y a environ 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Distribution EOLE - sprint 2017 13-15 Equipe MENSR
Début:
16/09/2016
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
1.50 h
Restant à faire (heures):
0.0

Description

Je ne sais pas si c'est un scorie de la migration des variables de 2.3 en 2.5 mais nous avons remarqué que lorsque la valeur de "Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" est à "non" pour les interfaces 1 et 2, cela provoque une erreur dans la génération des règles de pare-feu:

Génération des règles de pare-feu (modèle "5zones-AixMars")
 variable inconnue : netmask_admin_eth2 dans la regle : /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport %%lightsquid_port --tcp-flags SYN,RST,ACK SYN -i %%nom_zone_eth2 -s %%ip_admin_eth2/%%netmask_admin_eth2 -d %%adresse_ip_eth2 -j ACCEPT

non appliquées !
Erreur à la génération des règles de pare-feu
run-parts: /usr/share/eole/posttemplate/00-eole-common exited with return code 1
Erreur : posttemplate

5zones-AixMars.xml Voir (52,3 ko) Jean-Marc MELET, 23/09/2016 10:48

amon-2.5-0130178Y.tar.gz (2,57 Mo) Jean-Marc MELET, 23/09/2016 10:48

active_tags.patch Voir (7,68 ko) Jean-Marc MELET, 10/04/2017 15:45

Historique

#1 Mis à jour par Philippe Caseiro il y a plus de 7 ans

  • Assigné à mis à Philippe Caseiro

#2 Mis à jour par Philippe Caseiro il y a plus de 7 ans

  • Statut changé de Nouveau à En attente d'informations

Bonjour,

Je viens d'essayer de reproduire le problème avec un Amon 2.5.2.1 à jour avec 5 cartes.

J'ai mis non dans "Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" pour les interfaces 1 et 2 et je n'ai pas d'erreur de génération des règles de firewall.

Pouvez-vous lancer la commande gen_rpt et nous faire parvenir le résultat par mail ?

Nous aurions également besoin d'une copie de votre modèle Era qui semble être une variation du modèle standard 5 zones.

Merci d'avance.

#3 Mis à jour par Jean-Marc MELET il y a plus de 7 ans

Bonjour,

Voici les fichiers comme demandé (j'ai trouvé plus pratique de les déposer ici pour le suivi).
J'avais d'abord supposé un problème d'importation de variable lors de la migration comme nous avons eu le cas pour d'autres, mais j'ai le même problème en refixant la valeur à non dans Zéphir avant. Par contre c'est vrai que que n'ai pas testé sur un Amon 2.5 non migré mais je peux le faire si nécessaire mais comme l'erreur se situe sur une variable du dico et une règle du modèle de la distrib, j'ai écarté l'hypothèse d'adaptations académiques.

Merci

#4 Mis à jour par Gérald Schwartzmann il y a plus de 7 ans

  • Statut changé de En attente d'informations à Nouveau

#5 Mis à jour par Joël Cuissinat il y a environ 7 ans

  • Assigné à changé de Philippe Caseiro à Joël Cuissinat
  • Temps estimé mis à 2.00 h
  • Tâche parente mis à #19809

#6 Mis à jour par Joël Cuissinat il y a environ 7 ans

  • Statut changé de Nouveau à En cours
  • % réalisé changé de 0 à 20
  • Restant à faire (heures) mis à 1.0

Dans le modèle 5zones-AixMars.xml, je constate l'utilisation d'un tag activer_lightsquid qui n'existe pas dans le template active_tags et n’apparaît pas non plus dans tes patches alors que les règles natives concernant lightsquid utilisent un tag par interface : lightsquid1, lightsquid2, ...

J'ai du mal à voir si c'est bien la source du problème mais c'est une piste :)

#7 Mis à jour par Jean-Marc MELET il y a environ 7 ans

Visiblement gen_rpt ne récupère pas les patches descendus par variante, nous avons bien un patch (cf active_tags.patch ajouté en PJ) qui utilise le tag activer_lightsquid. De plus, l'erreur qui nous était retournée portait apparement plutot sur les variables netmask_admin_eth*.
J'ai remonté le problème surtout pour la forme et si jamais c'était révélateur d'un problème de fond plus grave. Maintenant ce n'est pas critique, nous nous somme adaptés en activant systématiquement ""Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" lors des migrations, et nous avons quasiment terminé la campagne. Même si on est toujours preneur d'une solution ce n'est pas non plus une priorité.

#8 Mis à jour par Joël Cuissinat il y a environ 7 ans

  • Statut changé de En cours à Fermé
  • % réalisé changé de 20 à 100
  • Restant à faire (heures) changé de 1.0 à 0.0

Même sans avoir tous les éléments, je pense que j'avais à peu près trouvé la cause de ton problème :)

À partir d'EOLE 2.4, les variables %%ip_admin_ethX et %%netmask_admin_ethX sont désactivées (disabled) si %%admin_ethX est à "non" donc si tu veux utiliser ces variables dans les règles générées, il faut faire un tag par interface afin de ne générer les règles contenant des variables désactivées.

#9 Mis à jour par Jean-Marc MELET il y a environ 7 ans

OK ça doit être ça alors, bon on va réfléchir à adapter nos conditions si on veut régler ce petit désagrément, en tout cas merci d'avoir passé du temps là-dessus ;)

Formats disponibles : Atom PDF