Anomalie #6471
incohérence SNAT sur la zone admin
Description
Depuis la version 2.3, dans tous les modeles XML la regle de SNAT générée pour les regles descendantes entre <zone:exterieur> et <zone:admin> est avec 0/0 en source au lieu du sous-réseau admin.
Il semble que ce soit un effet de bord lorsque l'extremité côté admin a comme source name "admin" pour la regle dans ERA. En effet, si on met à la place source name="admin_restreint", le SNAT est bien effectué avec le sous-réseau admin en source et non 0/0. D'ailleurs en comparaison pour le peda c'est bien "pedago_restreint" en extremité et on a pas ce problème.
Il y a donc incohérence entre l'admin et le péda sur ce point mais de plus le fait que tous les sous-réseaux se retrouvent natés par défaut n'est pas désirable, notamment pour les DMZ.
Pour info, on n'avait pas ce comportement en 2.2
root@amon.lyc-caillie.local:~# iptables -t nat -L POSTROUTING |grep SNAT SNAT all -- anywhere anywhere to:10.113.31.245 SNAT all -- 172.20.247.240/28 anywhere to:10.113.31.245
Révisions associées
changement extremite de la regle de SNAT admin_restreint, fixes #6471
Historique
#1 Mis à jour par Gwenael Remond il y a plus de 10 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 8ffa7d18534722cd13d3e2c95d5c41530c9e6326.
#2 Mis à jour par Gwenael Remond il y a plus de 10 ans
- Assigné à mis à Gwenael Remond
- Distribution changé de EOLE 2.3 à EOLE 2.4
changement de comportement -> ne sera pas modifié sur la 2.3...
#3 Mis à jour par Joël Cuissinat il y a plus de 10 ans
- Echéance mis à 08/11/2013
- Version cible mis à Eole 2.4-beta3
#4 Mis à jour par Gilles Grandgérard il y a plus de 10 ans
- Assigné à changé de Gwenael Remond à Gilles Grandgérard
#5 Mis à jour par Luc Bourdot il y a environ 10 ans
- Version cible changé de Eole 2.4-beta3 à Eole 2.4-RC1
#6 Mis à jour par Daniel Dehennin il y a environ 10 ans
Quel est le protocole de test pour reproduire le problème ?
#7 Mis à jour par Jean-Marc MELET il y a environ 10 ans
Rien de spécial, juste un Amon 2.3 avec une patte admin et constater que 0/0 est SNATé sur eth0 dans les regles iptables
#8 Mis à jour par Joël Cuissinat il y a environ 10 ans
- Statut changé de Résolu à Fermé
Il n'y a plus la règle "anywhere anywhere" sur 2.4 :
root@amon:~# iptables -t nat -L POSTROUTING |grep SNAT SNAT all -- 10.21.11.0/24 anywhere to:192.168.230.141 root@amon:~#
#9 Mis à jour par Jean-Marc MELET il y a environ 10 ans
A la bonne heure alors... pour une fois qu'une demande se résout toute seule :D