Project

General

Profile

Tâche #10230

Distribution EOLE - Scénario #10330: Corriger les problèmes d'héritage dans Era

inversion de la potilique par défaut et modèle hérité

Added by Gwenael Remond about 8 years ago. Updated almost 8 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
-
Target version:
Distribution EOLE - sprint 2015 5-7
Start date:
01/14/2015
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
0.25 h
Remaining (hours):
0.0

Description

l'inversion de la politique par défaut ne fonctionne pas sur un un modèle hérité,

sur un modèle AM-T02-004_pas3.xml (équivalent 2zones + une directive) dans lequel la politique par défaut est inversée, la sortie iptables est :

 
< ### directive avec exception de type nom 
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-src src -j ACCEPT
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-dst dst -j ACCEPT
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT
187c183
< /sbin/iptables -t filter -A ext-adm -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT

donc des règles en accept.

par contre, sur un modèle hérité , la même inversion donne les règles iptables avec AM-T02-004.xml donne :

< ### directive avec exception de type nom 
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-src src -j DROP
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-dst dst -j DROP
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT

Donc des règles en drop et pas en accept. Pour l'instant, l'héritage n'est donc pas compatible avec l'inversion de la politique par défaut.

AM-T02-004_pas3.xml View - modèles 2zones avec une directive en plus (35.2 KB) Gwenael Remond, 01/14/2015 05:09 PM

AM-T02-004.xml View - modèle heritant de 2zones avec une directive en plus (1.45 KB) Gwenael Remond, 01/14/2015 05:09 PM

Associated revisions

Revision ff3d095a (diff)
Added by Gwenael Remond almost 8 years ago

inversion de la politique par defaut pour l'heritage, fixes #10230

History

#1 Updated by Joël Cuissinat about 8 years ago

  • Tracker changed from Anomalie to Tâche
  • Estimated time set to 4.00 h
  • Parent task set to #10330
  • Remaining (hours) set to 4.0

#2 Updated by Gwenael Remond almost 8 years ago

  • Status changed from Nouveau to En cours

#3 Updated by Gwenael Remond almost 8 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

#4 Updated by Gwenael Remond almost 8 years ago

  • Remaining (hours) changed from 4.0 to 0.0

#5 Updated by Fabrice Barconnière almost 8 years ago

  • Status changed from Résolu to Fermé

OK, on ne peut pas modifier la politique par défaut sur un modèle héritant d'un autre.

Also available in: Atom PDF