Tâche #11634
Distribution EOLE - Scénario #11522: Assistance aux utilisateurs (20-22)
bastion : nf_conntrack_ftp non chargé au démarage du serveur
Description
Nous observons depuis quelques jours que certains modules netfilter dont nf_conntrack_ftp ne sont pas chargés après un redémarrage du serveur sur les amons 2.4.0 et 2.4.1.
root@test-admin-adm:~# lsmod | grep nf
nfnetlink 14650 1 ip_set
nf_conntrack_ipv4 15063 284
nf_defrag_ipv4 12758 1 nf_conntrack_ipv4
nf_nat_ipv4 13316 1 iptable_nat
nf_nat 26091 5 ipt_MASQUERADE,xt_nat,xt_REDIRECT,iptable_nat,nf_nat_ipv4
nf_conntrack 97581 6 ipt_MASQUERADE,iptable_nat,nf_conntrack_ipv4,nf_nat_ipv4,nf_nat,xt_state
Nous avons noté que la commande service bastion start restaure les règles de pare-feu en cache sans activer les modules, alors que la commande service bastion restart qui ré-initialise le pare-feu et régénère les règles, active bien les modules :
root@test-admin-adm:~# service bastion restart
(.../...)
root@test-admin-adm:~# lsmod | grep nf
nf_nat_tftp 12489 0
nf_conntrack_tftp 13121 1 nf_nat_tftp
nf_nat_ftp 12825 0
nf_conntrack_ftp 18715 1 nf_nat_ftp
nfnetlink 14650 1 ip_set
nf_conntrack_ipv4 15063 284
nf_defrag_ipv4 12758 1 nf_conntrack_ipv4
nf_nat_ipv4 13316 1 iptable_nat
nf_nat 26091 7 nf_nat_tftp,nf_nat_ftp,ipt_MASQUERADE,xt_nat,xt_REDIRECT,iptable_nat,nf_nat_ipv4
nf_conntrack 97581 10 nf_nat_tftp,nf_conntrack_tftp,nf_nat_ftp,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_conntrack_ipv4,nf_nat_ipv4,nf_nat,xt_state
Révisions associées
ajout du cache bastion pour les insertions de modules noyaux (ref #11634 @1h)
ajout du cache bastion pour les insertions de modules noyaux (ref #11634 @1h)
Conflicts:
bastion/bastion
Historique
#1 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Assigné à mis à Emmanuel GARETTE
- Version cible mis à Sprint_2015_20-22 - Équipe MENESR
- Temps estimé mis à 2.00 h
- Tâche parente mis à #11522
#2 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Restant à faire (heures) mis à 2.0
Aujourd'hui, on fait un DUMP des règles iptables appliqués via "iptables-save". Le problème c'est que tout autre commande ne sera pas réexécuter au démarrage du serveur.
Dans ces autres commandes il y a ... le chargement des modules noyaux.
Il faudrait utiliser un autre mécanisme pour charger les modules noyaux.
Une solution serait de templatiser le fichier /etc/modules mais ce n'est peut être pas simple a intégrer dans Era.
Une autre solution serait de faire un mécanisme propre à EOLE.
#3 Mis à jour par Daniel Dehennin il y a presque 9 ans
Emmanuel GARETTE a écrit :
Il faudrait utiliser un autre mécanisme pour charger les modules noyaux.
Une solution serait de templatiser le fichier /etc/modules mais ce n'est peut être pas simple a intégrer dans Era.
Une autre solution serait de faire un mécanisme propre à EOLE.
Il semble que ce problème n’existera plus en trusty car iptables-restore gère modprobe, ce qui ne semble pas le cas sur precise.
Je ne pense pas qu’il soit nécessaire de faire quelque chose de compliqué, soit on ajoute les modules nécessaires à /etc/modules et ils seront pris en charge par le script upstart module-init-tools, soit on peut génerer un fichier /etc/eole/bastion-modules géré directement dans bastion.
#4 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Statut changé de Nouveau à En cours
#5 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Restant à faire (heures) changé de 2.0 à 0.25
Corrigé en 2.4.1, 2.4.2 et 2.5.
Pour tester :
/etc/init.d/bastion restart
lsmod | grep nf_nat_tftp
(la commande doit retourner une ligne indiquant que le module est chargé)
rmmod nf_nat_tftp
/etc/init.d/bastion reload
lsmod | grep nf_nat_tftp
(la commande doit retourner une ligne indiquant que le module est chargé)
#6 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- % réalisé changé de 0 à 100
#7 Mis à jour par Scrum Master il y a presque 9 ans
- Statut changé de En cours à Résolu
#8 Mis à jour par Joël Cuissinat il y a presque 9 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0
- recompilation du paquet (eole-common 2.4.1-80 eole-2.4.1-proposed-updates/all)
- tests sur un Amon avant et après mise à jour
- ajout de pas effectuant des appels à lsmod dans les cas de test AM-T02-005 - Mise en place des règles durant reconfigure et AE-T02-005 - Mise en place des règles durant reconfigure.