Projet

Général

Profil

Tâche #13533

Scénario #13622: Faire fonctionner Cntlm en mode une carte

netmask et network non conforme dans dicos 61_cntlm.xml

Ajouté par Gaetan Mottier il y a plus de 8 ans. Mis à jour il y a plus de 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Distribution EOLE - sprint 2017 1-3 Equipe MENSR
Début:
12/10/2015
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
2.00 h
Restant à faire (heures):
0.0

Description

Le dictionnaire de cntlm ne possède pas les bonnes valeurs pour les règles iptables

les lignes des interfaces inverses network et netmask : <ip interface='eth1' netmask='adresse_network_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>adresse_netmask_eth1</ip>
Celles des vlans ne possèdent que netmask comme valeurs : <ip interface='eth1' netmask='vlan_netmask_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>vlan_netmask_eth1</ip>
ce qui donne dans iptables ceci: ACCEPT tcp -- 10.14.222.0/10.14.222.0 anywhere tcp dpt:3127 flags:FIN,SYN,RST,ACK/SYN

Je joins le dictionnaire tel que nous l'utilisons et auquel nous rajoutons aussi l’accès au "Réseaux supplémentaire autorisés a se connecter depuis cette interface", ce qui je pense est un manque dans le dictionnaire actuel.

Ceci est valable en 2.4 et aussi sur la rc de la 2.5

61_cntlm.xml Voir (7,71 ko) Gaetan Mottier, 12/10/2015 11:43

Révisions associées

Révision 831e1de5 (diff)
Ajouté par Joël Cuissinat il y a plus de 7 ans

Correction des règles de pare-feu pour Cntlm

Ref: #13533 @2h

Historique

#1 Mis à jour par Gaetan Mottier il y a plus de 8 ans

Précision : lorsque je parle de la rc 2.5, je parle de la rc 2.5.1
Et le dictionnaire joint est celui repris de mes tests en 2.5.1, les modifications apportés sont les mêmes que sur 2.4.2, il s'agit des balises <service_restriction>

#2 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé mis à 3.00 h
  • Tâche parente mis à #13526
  • Restant à faire (heures) mis à 3.0
  • Distribution changé de EOLE 2.4 à EOLE 2.5

Je confirme le bug sur ce dico.

Par contre, merci de créer un signalement dédié pour la demande d'évolution sur les réseaux supplémentaires.

NB : si celle-ci est implémenté nativement, nous devrons faire évoluer les modèles ERA en conséquence.

#3 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Tâche parente #13526 supprimé

Après réflexion, cette demande n'est pas prioritaire car Amon n'utilise pas cette fonctionnalité (ERA power) et que le module "Eolebase + proxy" n'est pas stabilisé par ailleurs.

#4 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Version cible Sprint 2015 42-44 - Équipe MENESR supprimé

#5 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Tracker changé de Tâche à Anomalie

#6 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé changé de 3.00 h à 2.00 h
  • Tâche parente mis à #13622
  • Restant à faire (heures) changé de 3.0 à 2.0

#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Statut changé de Nouveau à En cours

#8 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Assigné à mis à Joël Cuissinat

#9 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 2.0 à 0.25
Sur aca.eolebase + eole-proxy, la commande suivante iptables-save | grep 3127 doit retourner :
  • pour l'interface 0
    -A eth0-root -s 192.168.0.0/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
  • pour un VLAN déclaré dans l'interface de configuration du module
    -A eth0-root -s <network_vlan>/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#10 Mis à jour par Scrum Master il y a plus de 7 ans

  • Statut changé de En cours à Résolu

#11 Mis à jour par Philippe Caseiro il y a plus de 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

Formats disponibles : Atom PDF