Tâche #11634
Distribution EOLE - Scénario #11522: Assistance aux utilisateurs (20-22)
bastion : nf_conntrack_ftp non chargé au démarage du serveur
Description
Nous observons depuis quelques jours que certains modules netfilter dont nf_conntrack_ftp ne sont pas chargés après un redémarrage du serveur sur les amons 2.4.0 et 2.4.1.
root@test-admin-adm:~# lsmod | grep nf
nfnetlink 14650 1 ip_set
nf_conntrack_ipv4 15063 284
nf_defrag_ipv4 12758 1 nf_conntrack_ipv4
nf_nat_ipv4 13316 1 iptable_nat
nf_nat 26091 5 ipt_MASQUERADE,xt_nat,xt_REDIRECT,iptable_nat,nf_nat_ipv4
nf_conntrack 97581 6 ipt_MASQUERADE,iptable_nat,nf_conntrack_ipv4,nf_nat_ipv4,nf_nat,xt_state
Nous avons noté que la commande service bastion start restaure les règles de pare-feu en cache sans activer les modules, alors que la commande service bastion restart qui ré-initialise le pare-feu et régénère les règles, active bien les modules :
root@test-admin-adm:~# service bastion restart
(.../...)
root@test-admin-adm:~# lsmod | grep nf
nf_nat_tftp 12489 0
nf_conntrack_tftp 13121 1 nf_nat_tftp
nf_nat_ftp 12825 0
nf_conntrack_ftp 18715 1 nf_nat_ftp
nfnetlink 14650 1 ip_set
nf_conntrack_ipv4 15063 284
nf_defrag_ipv4 12758 1 nf_conntrack_ipv4
nf_nat_ipv4 13316 1 iptable_nat
nf_nat 26091 7 nf_nat_tftp,nf_nat_ftp,ipt_MASQUERADE,xt_nat,xt_REDIRECT,iptable_nat,nf_nat_ipv4
nf_conntrack 97581 10 nf_nat_tftp,nf_conntrack_tftp,nf_nat_ftp,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_conntrack_ipv4,nf_nat_ipv4,nf_nat,xt_state
Associated revisions
ajout du cache bastion pour les insertions de modules noyaux (ref #11634 @1h)
ajout du cache bastion pour les insertions de modules noyaux (ref #11634 @1h)
Conflicts:
bastion/bastion
History
#1 Updated by Emmanuel GARETTE almost 6 years ago
- Assigned To set to Emmanuel GARETTE
- Target version set to Sprint_2015_20-22 - Équipe MENESR
- Estimated time set to 2.00 h
- Parent task set to #11522
#2 Updated by Emmanuel GARETTE almost 6 years ago
- Remaining (hours) set to 2.0
Aujourd'hui, on fait un DUMP des règles iptables appliqués via "iptables-save". Le problème c'est que tout autre commande ne sera pas réexécuter au démarrage du serveur.
Dans ces autres commandes il y a ... le chargement des modules noyaux.
Il faudrait utiliser un autre mécanisme pour charger les modules noyaux.
Une solution serait de templatiser le fichier /etc/modules mais ce n'est peut être pas simple a intégrer dans Era.
Une autre solution serait de faire un mécanisme propre à EOLE.
#3 Updated by Daniel Dehennin almost 6 years ago
Emmanuel GARETTE a écrit :
Il faudrait utiliser un autre mécanisme pour charger les modules noyaux.
Une solution serait de templatiser le fichier /etc/modules mais ce n'est peut être pas simple a intégrer dans Era.
Une autre solution serait de faire un mécanisme propre à EOLE.
Il semble que ce problème n’existera plus en trusty car iptables-restore gère modprobe, ce qui ne semble pas le cas sur precise.
Je ne pense pas qu’il soit nécessaire de faire quelque chose de compliqué, soit on ajoute les modules nécessaires à /etc/modules et ils seront pris en charge par le script upstart module-init-tools, soit on peut génerer un fichier /etc/eole/bastion-modules géré directement dans bastion.
#4 Updated by Emmanuel GARETTE almost 6 years ago
- Status changed from Nouveau to En cours
#5 Updated by Emmanuel GARETTE almost 6 years ago
- Remaining (hours) changed from 2.0 to 0.25
Corrigé en 2.4.1, 2.4.2 et 2.5.
Pour tester :
/etc/init.d/bastion restart
lsmod | grep nf_nat_tftp
(la commande doit retourner une ligne indiquant que le module est chargé)
rmmod nf_nat_tftp
/etc/init.d/bastion reload
lsmod | grep nf_nat_tftp
(la commande doit retourner une ligne indiquant que le module est chargé)
#6 Updated by Emmanuel GARETTE almost 6 years ago
- % Done changed from 0 to 100
#7 Updated by Scrum Master almost 6 years ago
- Status changed from En cours to Résolu
#8 Updated by Joël Cuissinat almost 6 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.25 to 0.0
- recompilation du paquet (eole-common 2.4.1-80 eole-2.4.1-proposed-updates/all)
- tests sur un Amon avant et après mise à jour
- ajout de pas effectuant des appels à lsmod dans les cas de test AM-T02-005 - Mise en place des règles durant reconfigure et AE-T02-005 - Mise en place des règles durant reconfigure.