Scénario #12634
La règle iptables générée pour eole-snmp doit concerner la bonne carte réseau (pas seulement eth0
100%
Description
Comme noté sur cette demande (https://dev-eole.ac-dijon.fr/issues/11437), avoir seulement eth0 comme interface pour snmp nous pose des soucis autant sur sphynx que sur Amon.
Il faudrait que l'on puisse ajouter une variable esclave au groupe de varible existant pour un réseau donné qui permettrait de déterminer l'interface souhaitée.
Exigence : Une sélection d'IP doit pouvoir interroger le service SNMP.
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
Est-ce que ce n'est qu'un problème de firewall ? Si vous ajoutez une règle iptables correct cela fonctionne ?
Si oui, pourriez-vous remplacer "eth0" par "auto" dans la ligne "<ip interface='eth0' netmask='snmp_allow_mask' netmask_type='SymLinkOption' ip_type='SymLinkOption'>snmp_allow_ip</ip>" du fichier /usr/share/eole/creole/dicos/20_snmpd.xml et me dire si cela résouds le problème ?
#2 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 8 ans
Oui ce n'est qu'un soucis de génération de la règle iptables avec l'interface adaptée.
L'information de l'interface n'étant pas présente dans le dico, difficile de générer la bonne iptable.
En test rapide, je n'ai que des AMON, je n'ai pas de shpynx ou je peux lancer un reconf pour tester la modif du dico. (car on est bien d'accord que cette modif ne génère des iptables que lorsque que l'on utilise pas de modèle ERA?)
Nicolas
#3 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
C'est bien cela.
Le test sur Amon n'est pas probant parce que pas utilisé.
Pour tester sur le Sphynx sans faire de reconfigure, vous pouvez faire :
- modifier le eth0 en auto ;
- CreoleCat -s /usr/share/eole/creole/distrib/50-nat_rules -o test.txt
- vérifier la génération de la règle dans test.txt
Cordialement,
#4 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Sujet changé de Pouvoir autoriser snmp sur une interface autre que eth0 à La règle iptables générée pour eole-snmp doit concerner la bonne carte réseau (pas seulement eth0
- Description mis à jour (diff)
- Distribution
EOLE 2.4supprimé
#5 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Tracker changé de Evolution à Proposition Scénario
- Catégorie mis à Version mineure
#6 Mis à jour par Scrum Master il y a plus de 8 ans
- Tracker changé de Proposition Scénario à Scénario
- Echéance mis à 18/12/2015
- Version cible mis à Sprint 2015 49-51 - Équipe MENESR
- Release mis à EOLE 2.5.2
- Points de scénarios mis à 1.0
#7 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Statut changé de Nouveau à Terminé (Sprint)
#8 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
ERRATA¶
Il n'est pas possible de redéfinir cette partie du dictionnaire. Il est nécessaire de faire une règle iptables à la main.
Pour cela créé le fichier /usr/share/eole/bastion/data/60-snmp avec le contenu suivant :
#!/bin/bash iptables -I eth1-root -s <mon_ip> -p udp -m udp --dport 161 -j ACCEPT
Rendre exécutable ce script :
chmod +x /usr/share/eole/bastion/data/60-snmp
Ce problème a été introduit dans la version 2.4.0 et est résolu dans la version 2.5.2.