Projet

Général

Profil

Tâche #13533

Scénario #13622: Faire fonctionner Cntlm en mode une carte

netmask et network non conforme dans dicos 61_cntlm.xml

Ajouté par Gaetan Mottier il y a plus de 10 ans. Mis à jour il y a environ 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
Distribution EOLE - sprint 2017 1-3 Equipe MENSR
Début:
12/10/2015
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
2.00 h
Restant à faire (heures):
0.0

Description

Le dictionnaire de cntlm ne possède pas les bonnes valeurs pour les règles iptables

les lignes des interfaces inverses network et netmask : <ip interface='eth1' netmask='adresse_network_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>adresse_netmask_eth1</ip>
Celles des vlans ne possèdent que netmask comme valeurs : <ip interface='eth1' netmask='vlan_netmask_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>vlan_netmask_eth1</ip>
ce qui donne dans iptables ceci: ACCEPT tcp -- 10.14.222.0/10.14.222.0 anywhere tcp dpt:3127 flags:FIN,SYN,RST,ACK/SYN

Je joins le dictionnaire tel que nous l'utilisons et auquel nous rajoutons aussi l’accès au "Réseaux supplémentaire autorisés a se connecter depuis cette interface", ce qui je pense est un manque dans le dictionnaire actuel.

Ceci est valable en 2.4 et aussi sur la rc de la 2.5

61_cntlm.xml Voir (7,71 ko) Gaetan Mottier, 12/10/2015 11:43

Révisions associées

Révision 831e1de5 (diff)
Ajouté par Joël Cuissinat il y a environ 9 ans

Correction des règles de pare-feu pour Cntlm

Ref: #13533 @2h

Historique

#1 Mis à jour par Gaetan Mottier il y a plus de 10 ans

Précision : lorsque je parle de la rc 2.5, je parle de la rc 2.5.1
Et le dictionnaire joint est celui repris de mes tests en 2.5.1, les modifications apportés sont les mêmes que sur 2.4.2, il s'agit des balises <service_restriction>

#2 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé mis à 3.00 h
  • Tâche parente mis à #13526
  • Restant à faire (heures) mis à 3.0
  • Distribution changé de EOLE 2.4 à EOLE 2.5

Je confirme le bug sur ce dico.

Par contre, merci de créer un signalement dédié pour la demande d'évolution sur les réseaux supplémentaires.

NB : si celle-ci est implémenté nativement, nous devrons faire évoluer les modèles ERA en conséquence.

#3 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Tâche parente #13526 supprimé

Après réflexion, cette demande n'est pas prioritaire car Amon n'utilise pas cette fonctionnalité (ERA power) et que le module "Eolebase + proxy" n'est pas stabilisé par ailleurs.

#4 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Version cible Sprint 2015 42-44 - Équipe MENESR supprimé

#5 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Tracker changé de Tâche à Anomalie

#6 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Tracker changé de Anomalie à Tâche
  • Temps estimé changé de 3.00 h à 2.00 h
  • Tâche parente mis à #13622
  • Restant à faire (heures) changé de 3.0 à 2.0

#7 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • Statut changé de Nouveau à En cours

#8 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • Assigné à mis à Joël Cuissinat

#9 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 2.0 à 0.25
Sur aca.eolebase + eole-proxy, la commande suivante iptables-save | grep 3127 doit retourner :
  • pour l'interface 0
    -A eth0-root -s 192.168.0.0/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
  • pour un VLAN déclaré dans l'interface de configuration du module
    -A eth0-root -s <network_vlan>/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#10 Mis à jour par Scrum Master il y a environ 9 ans

  • Statut changé de En cours à Résolu

#11 Mis à jour par Philippe Caseiro il y a environ 9 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

Formats disponibles : Atom PDF