Projet

Général

Profil

Tâche #12411

Amon - Scénario #16041: EAD Amon : gérer le décalage de +2h sur les restrictions horaires

Groupe de machine : rectriction horaire, ouverture d'une minute dans règles iptables

Ajouté par Vincent Febvre il y a presque 9 ans. Mis à jour il y a presque 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Bruno Boiget
Version cible:
Distribution EOLE - sprint 2016 25-27 - Equipe MENESR
Début:
17/07/2015
Echéance:
% réalisé:

100%

Temps estimé:
1.00 h
Temps passé:
0.67 h
Restant à faire (heures):
0.0

Description

Test effectué sur un amon 2.4.1

Lorsqu'on définit des plages horaires d'ouverture pour un groupe de machine en sélectionnant "web selon horaire", les règles iptables sont correctement générées mais il y a un lapse de temps d'une minute où l'accès web est de nouveau disponible :

-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 80,443,3128,8080 -m set --match-set generale src -m time --timestart 20:30:00 --timestop 23:59:00 --weekdays Thu --datestop 2038-01-19T03:14:07 --kerneltz -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 80,443,3128,8080 -m set --match-set generale src -m time --timestart 00:00:00 --timestop 08:00:00 --weekdays Thu --datestop 2038-01-19T03:14:07 --kerneltz -j REJECT --reject-with icmp-port-unreachable

De 23:59:00 à 00:00:00, les accès sont permis selon ces règles.
Il faudrait que les plages horaires soient plutôt 20:30:00 à 23:59:59 et 00:00:00 à 08:00:00 (dans mon exemple).

Révisions associées

Révision 4a71f32c (diff)
Ajouté par Bruno Boiget il y a presque 8 ans

Corrections sur règles horaires

  • Récupération de la time_zone définie dans la configuration (amon.cfg)
  • force les plages à finir à 23:59:59 au lieu de 23:59 ou 24:00

ref #1216 @5m
ref #12411 @10m

Historique

#1 Mis à jour par Fabrice Barconnière il y a presque 8 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé mis à 1.00 h
  • Tâche parente mis à #16041
  • Restant à faire (heures) mis à 1.0

#2 Mis à jour par Bruno Boiget il y a presque 8 ans

Une autre solution serait d'utiliser l'option --contiguous d'iptables pour les plages incluant un changement de jour (si cela est compatible avec l'interface web).

 Matching across days might not do what is expected. For instance,

    -m time --weekdays Mo --timestart 23:00 --timestop 01:00 Will match Monday, for one hour from midnight to 1 a.m., and then again for another hour from 23:00 onwards. If this is unwanted, e.g. if you would like 'match for two hours from Montay 23:00 onwards' you need to also specify the --contiguous option in the example above.

Pour l'exemple donné :

-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 80,443,3128,8080 -m set --match-set generale src -m time --timestart 20:30:00 --timestop 08:00:00 --contiguous --weekdays Thu --datestop 2038-01-19T03:14:07 --kerneltz -j REJECT --reject-with icmp-port-unreachable

#3 Mis à jour par Bruno Boiget il y a presque 8 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Bruno Boiget

#4 Mis à jour par Scrum Master il y a presque 8 ans

  • Statut changé de En cours à Résolu

#5 Mis à jour par Lionel Morin il y a presque 8 ans

  • % réalisé changé de 0 à 100

#6 Mis à jour par Lionel Morin il y a presque 8 ans

  • Restant à faire (heures) changé de 1.0 à 0.0

#7 Mis à jour par Lionel Morin il y a presque 8 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF