Scénario #12634
La règle iptables générée pour eole-snmp doit concerner la bonne carte réseau (pas seulement eth0
100%
Description
Comme noté sur cette demande (https://dev-eole.ac-dijon.fr/issues/11437), avoir seulement eth0 comme interface pour snmp nous pose des soucis autant sur sphynx que sur Amon.
Il faudrait que l'on puisse ajouter une variable esclave au groupe de varible existant pour un réseau donné qui permettrait de déterminer l'interface souhaitée.
Exigence : Une sélection d'IP doit pouvoir interroger le service SNMP.
Subtasks
Related issues
History
#1 Updated by Emmanuel GARETTE over 7 years ago
Est-ce que ce n'est qu'un problème de firewall ? Si vous ajoutez une règle iptables correct cela fonctionne ?
Si oui, pourriez-vous remplacer "eth0" par "auto" dans la ligne "<ip interface='eth0' netmask='snmp_allow_mask' netmask_type='SymLinkOption' ip_type='SymLinkOption'>snmp_allow_ip</ip>" du fichier /usr/share/eole/creole/dicos/20_snmpd.xml et me dire si cela résouds le problème ?
#2 Updated by équipe eole Academie d'Orléans-Tours over 7 years ago
Oui ce n'est qu'un soucis de génération de la règle iptables avec l'interface adaptée.
L'information de l'interface n'étant pas présente dans le dico, difficile de générer la bonne iptable.
En test rapide, je n'ai que des AMON, je n'ai pas de shpynx ou je peux lancer un reconf pour tester la modif du dico. (car on est bien d'accord que cette modif ne génère des iptables que lorsque que l'on utilise pas de modèle ERA?)
Nicolas
#3 Updated by Emmanuel GARETTE over 7 years ago
C'est bien cela.
Le test sur Amon n'est pas probant parce que pas utilisé.
Pour tester sur le Sphynx sans faire de reconfigure, vous pouvez faire :
- modifier le eth0 en auto ;
- CreoleCat -s /usr/share/eole/creole/distrib/50-nat_rules -o test.txt
- vérifier la génération de la règle dans test.txt
Cordialement,
#4 Updated by Emmanuel GARETTE over 7 years ago
- Subject changed from Pouvoir autoriser snmp sur une interface autre que eth0 to La règle iptables générée pour eole-snmp doit concerner la bonne carte réseau (pas seulement eth0
- Description updated (diff)
- Distribution deleted (
EOLE 2.4)
#5 Updated by Emmanuel GARETTE over 7 years ago
- Tracker changed from Evolution to Proposition Scénario
- Category set to Version mineure
#6 Updated by Scrum Master over 7 years ago
- Tracker changed from Proposition Scénario to Scénario
- Due date set to 12/18/2015
- Target version set to Sprint 2015 49-51 - Équipe MENESR
- Release set to EOLE 2.5.2
- Story points set to 1.0
#7 Updated by Joël Cuissinat over 7 years ago
- Status changed from Nouveau to Terminé (Sprint)
#8 Updated by Emmanuel GARETTE about 7 years ago
ERRATA¶
Il n'est pas possible de redéfinir cette partie du dictionnaire. Il est nécessaire de faire une règle iptables à la main.
Pour cela créé le fichier /usr/share/eole/bastion/data/60-snmp avec le contenu suivant :
#!/bin/bash iptables -I eth1-root -s <mon_ip> -p udp -m udp --dport 161 -j ACCEPT
Rendre exécutable ce script :
chmod +x /usr/share/eole/bastion/data/60-snmp
Ce problème a été introduit dans la version 2.4.0 et est résolu dans la version 2.5.2.