Projet

Général

Profil

Tâche #12448

Scénario #12728: Corriger le comportement trop permissif des règles implicites en ACCEPT dans le compilateur de règles (suite)

correction du protocole dans le cas du DNAT udp et tcp

Ajouté par Gwenael Remond il y a presque 9 ans. Mis à jour il y a plus de 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Version cible:
Distribution EOLE - Sprint_2015_36-38 - Équipe MENESR
Début:
15/07/2015
Echéance:
% réalisé:

100%

Temps estimé:
10.00 h
Temps passé:
8.25 h
Restant à faire (heures):
0.0

Révisions associées

Révision 1bccdcfc (diff)
Ajouté par Gwenael Remond il y a presque 9 ans

Ajout des ports UDP/TCP des règles implicites DNAT

Les règles implicites dans le cas de DNAT n’ont pas la spécification des
ports pour les protocols UDP et TCP.

Ref: #12448.

Révision 49815eee (diff)
Ajouté par Emmanuel GARETTE il y a plus de 8 ans

il faut mettre l'adresse IP de destination et non l'adresse IP source dans la règle d'autorisation (ref #12448 @1h)

Historique

#1 Mis à jour par Gwenael Remond il y a presque 9 ans

  • Statut changé de Nouveau à En cours

#2 Mis à jour par Gwenael Remond il y a presque 9 ans

corrigé par commit 1bccdcfc

#3 Mis à jour par Gwenael Remond il y a presque 9 ans

  • Restant à faire (heures) changé de 4.0 à 2.0

#4 Mis à jour par Daniel Dehennin il y a presque 9 ans

  • % réalisé changé de 0 à 100

Je viens de rebaser le commit sur 2.4.0 et j’ai fusionné la branche dans master.

À voir s’il sera à diffuser sur les anciennes version.

#5 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • % réalisé changé de 100 à 50

Le commit associé à cette demande (1bccdcfc) n'est pour l'instant diffusé qu'en eole-2.5-unstable (future 2.5.1) mais il casse les tests unitaires...

#6 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Statut changé de En cours à Nouveau
  • Assigné à Gwenael Remond supprimé
  • % réalisé changé de 50 à 40
  • Temps estimé changé de 4.00 h à 6.00 h
  • Tâche parente #12446 supprimé
  • Restant à faire (heures) changé de 2.0 à 4.0

#7 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Temps estimé changé de 6.00 h à 10.00 h
  • Tâche parente mis à #12728

#8 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Emmanuel GARETTE
  • % réalisé changé de 40 à 90
  • Restant à faire (heures) changé de 4.0 à 1.0

Pour moi la correction est OK.

Pas de différence pour le redirect/SNAT (qui était bon).

Pour le DNAT on passe de :

-A PREROUTING -d 192.168.230.154/32 -i eth0 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.168.1.1
-A ext-adm -d 192.168.1.1/32 -i eth0 -o eth1 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

à :

-A PREROUTING -d 192.168.230.154/32 -i eth0 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.168.1.1
-A ext-adm -d 192.168.1.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Le port est bien ajouté dans la règle d'ACCEPT. C'est ce qui est attendu.

il reste à voir l'histoire des tests.

#9 Mis à jour par Scrum Master il y a plus de 8 ans

  • Statut changé de En cours à Résolu

#10 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • % réalisé changé de 90 à 100

OK 2.4.3/2.5.1

#11 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 1.0 à 0.0

Formats disponibles : Atom PDF