Project

General

Profile

Tâche #12448

Scénario #12728: Corriger le comportement trop permissif des règles implicites en ACCEPT dans le compilateur de règles (suite)

correction du protocole dans le cas du DNAT udp et tcp

Added by Gwenael Remond over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
07/15/2015
Due date:
% Done:

100%

Estimated time:
10.00 h
Spent time:
Remaining (hours):
0.0

Associated revisions

Revision 1bccdcfc (diff)
Added by Gwenael Remond over 5 years ago

Ajout des ports UDP/TCP des règles implicites DNAT

Les règles implicites dans le cas de DNAT n’ont pas la spécification des
ports pour les protocols UDP et TCP.

Ref: #12448.

Revision 49815eee (diff)
Added by Emmanuel GARETTE over 5 years ago

il faut mettre l'adresse IP de destination et non l'adresse IP source dans la règle d'autorisation (ref #12448 @1h)

History

#1 Updated by Gwenael Remond over 5 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Gwenael Remond over 5 years ago

corrigé par commit 1bccdcfc

#3 Updated by Gwenael Remond over 5 years ago

  • Remaining (hours) changed from 4.0 to 2.0

#4 Updated by Daniel Dehennin over 5 years ago

  • % Done changed from 0 to 100

Je viens de rebaser le commit sur 2.4.0 et j’ai fusionné la branche dans master.

À voir s’il sera à diffuser sur les anciennes version.

#5 Updated by Joël Cuissinat over 5 years ago

  • % Done changed from 100 to 50

Le commit associé à cette demande (1bccdcfc) n'est pour l'instant diffusé qu'en eole-2.5-unstable (future 2.5.1) mais il casse les tests unitaires...

#6 Updated by Joël Cuissinat over 5 years ago

  • Status changed from En cours to Nouveau
  • Assigned To deleted (Gwenael Remond)
  • % Done changed from 50 to 40
  • Estimated time changed from 4.00 h to 6.00 h
  • Parent task deleted (#12446)
  • Remaining (hours) changed from 2.0 to 4.0

#7 Updated by Joël Cuissinat over 5 years ago

  • Estimated time changed from 6.00 h to 10.00 h
  • Parent task set to #12728

#8 Updated by Emmanuel GARETTE over 5 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Emmanuel GARETTE
  • % Done changed from 40 to 90
  • Remaining (hours) changed from 4.0 to 1.0

Pour moi la correction est OK.

Pas de différence pour le redirect/SNAT (qui était bon).

Pour le DNAT on passe de :

-A PREROUTING -d 192.168.230.154/32 -i eth0 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.168.1.1
-A ext-adm -d 192.168.1.1/32 -i eth0 -o eth1 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

à :

-A PREROUTING -d 192.168.230.154/32 -i eth0 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.168.1.1
-A ext-adm -d 192.168.1.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Le port est bien ajouté dans la règle d'ACCEPT. C'est ce qui est attendu.

il reste à voir l'histoire des tests.

#9 Updated by Scrum Master over 5 years ago

  • Status changed from En cours to Résolu

#10 Updated by Joël Cuissinat over 5 years ago

  • % Done changed from 90 to 100

OK 2.4.3/2.5.1

#11 Updated by Joël Cuissinat over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 1.0 to 0.0

Also available in: Atom PDF