Projet

Général

Profil

Anomalie #8077

Pb generation regles iptables lorsque vlan Actif

Ajouté par philippe ferreira il y a presque 10 ans. Mis à jour il y a presque 10 ans.

Statut:
Pas un bug
Priorité:
Normal
Assigné à:
Gwenael Remond
Catégorie:
-
Version cible:
-
Début:
Echéance:
% réalisé:

100%

Temps passé:
Distribution:
EOLE 2.3

Description

Bonjour,

Je rencontre un pb avec Era 2.3-eole38 et l'interpretation des variables d'une nouvelle zone s'appuyant sur un vlan.
J'ai créer une zone "vlan-gtb" en respectant ce signalement http://dev-eole.ac-dijon.fr/issues/7742#change-29799:
- interface: eth3.%%id_vlan_eth30
- ip varaible: %%id_vlan_eth30.adresse_ip_vlan_eth3
- netmask varaible: %%id_vlan_eth30.adresse_netmask_vlan_eth3
- network varaible: %%id_vlan_eth30.adresse_network_vlan_eth3

Après avoir appliquer le modèle era: j'ai ce message d'erreur: * Stopping l7filter [ OK ] * Stopping Serveur Creole: creole_serv [ OK ] * Stopping firewall: bastion [ OK ] * Starting Serveur Creole: creole_serv [ OK ] * Starting firewall: bastion (modèle "4zones-scribe-nginx-creteil-gtb")Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: invalid mask `%id_vlan_eth30.adresse_netmask_vlan_eth3' specified
Try `iptables -h' or 'iptables --help' for more information.
[ OK ] * Starting l7filter

Dans le fichier généré /sbin/lance.firewall: parfois la generation se fait correctement et parfois non, exemple:
  1. On fait sortir les membres du vlan-gtb par le premier Alias eth0
    /sbin/iptables -t nat -A POSTROUTING -o eth0 -s %id_vlan_eth30.adresse_network_vlan_eth3/%id_vlan_eth30.adresse_netmask_vlan_eth3 -d 0/0 -j SNAT --to-source 62.100.135.122

/sbin/iptables -t filter -A vla-ext -i eth3.7 -o eth0 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT

Dans ces 2 règles qui se suivent, on peut voir que la premiere règle interprete mal car ca conserve un seul % alors que dans la deuxieme ligne les varaibles sont bien remplacées.

Je joins en piece jointe les fichiers suivants: config.eole, le modele de parefeu: 4zones-scribe-nginx-creteil-gtb.xml, le dicos que j'ai ecris dico-gtb-23.xml, et le fichier /sbin/lance.firewall.

Merci à vous pour votre aide

4zones-scribe-nginx-creteil-gtb.xml Voir (7,5 ko) philippe ferreira, 28/04/2014 11:24

archive-pb-era-vlan.tar.gz (11,9 ko) philippe ferreira, 28/04/2014 11:28

4zones-scribe-nginx-creteil.xml Voir (3,43 ko) philippe ferreira, 28/04/2014 11:34

Historique

#1 Mis à jour par philippe ferreira il y a presque 10 ans

je joins egalement le modele pere du modele de parefeu si necessaire: /usr/share/era/modeles/4zones-scribe-nginx-creteil.xml

#2 Mis à jour par Luc Bourdot il y a presque 10 ans

  • Statut changé de Nouveau à A étudier
  • Assigné à mis à Gwenael Remond

#3 Mis à jour par Gwenael Remond il y a presque 10 ans

  • Projet changé de Amon à ERA

#4 Mis à jour par Gwenael Remond il y a presque 10 ans

  • Statut changé de A étudier à Pas un bug

plusieurs erreurs dans le modèle :

  • syntaxe Créole incomplète dans le nom de l'interface (eth3.%%{id_vlan_eth3} il fallait rajouter les accolades
  • ajout de conditions dans le dictionnaire (les balises group)
  • utilisation de plusieurs variables multiples dans une directive avec des variables multiples qui appartiennent à des groupes master/slave différents
  • notations Créole erronées (%%id_vlan_eth3[0].adresse_netmask_vlan_eth3)

#5 Mis à jour par Gwenael Remond il y a presque 10 ans

  • % réalisé changé de 0 à 100

Formats disponibles : Atom PDF