Projet

Général

Profil

Tâche #10230

Distribution EOLE - Scénario #10330: Corriger les problèmes d'héritage dans Era

inversion de la potilique par défaut et modèle hérité

Ajouté par Gwenael Remond il y a plus de 9 ans. Mis à jour il y a environ 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
Distribution EOLE - sprint 2015 5-7
Début:
14/01/2015
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
0.25 h
Restant à faire (heures):
0.0

Description

l'inversion de la politique par défaut ne fonctionne pas sur un un modèle hérité,

sur un modèle AM-T02-004_pas3.xml (équivalent 2zones + une directive) dans lequel la politique par défaut est inversée, la sortie iptables est :

 
< ### directive avec exception de type nom 
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-src src -j ACCEPT
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-dst dst -j ACCEPT
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT
187c183
< /sbin/iptables -t filter -A ext-adm -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT

donc des règles en accept.

par contre, sur un modèle hérité , la même inversion donne les règles iptables avec AM-T02-004.xml donne :

< ### directive avec exception de type nom 
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-src src -j DROP
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -m set --match-set bastion-exterieur-admin-1-dst dst -j DROP
< /sbin/iptables -t filter -A ext-adm -m state --state NEW -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth0 -o eth1 -s 0/0 -d 0/0 -j ACCEPT

Donc des règles en drop et pas en accept. Pour l'instant, l'héritage n'est donc pas compatible avec l'inversion de la politique par défaut.

AM-T02-004_pas3.xml Voir - modèles 2zones avec une directive en plus (35,2 ko) Gwenael Remond, 14/01/2015 17:09

AM-T02-004.xml Voir - modèle heritant de 2zones avec une directive en plus (1,45 ko) Gwenael Remond, 14/01/2015 17:09

Révisions associées

Révision ff3d095a (diff)
Ajouté par Gwenael Remond il y a environ 9 ans

inversion de la politique par defaut pour l'heritage, fixes #10230

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé mis à 4.00 h
  • Tâche parente mis à #10330
  • Restant à faire (heures) mis à 4.0

#2 Mis à jour par Gwenael Remond il y a environ 9 ans

  • Statut changé de Nouveau à En cours

#3 Mis à jour par Gwenael Remond il y a environ 9 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100

#4 Mis à jour par Gwenael Remond il y a environ 9 ans

  • Restant à faire (heures) changé de 4.0 à 0.0

#5 Mis à jour par Fabrice Barconnière il y a environ 9 ans

  • Statut changé de Résolu à Fermé

OK, on ne peut pas modifier la politique par défaut sur un modèle héritant d'un autre.

Formats disponibles : Atom PDF