Tâche #13533
Scénario #13622: Faire fonctionner Cntlm en mode une carte
netmask et network non conforme dans dicos 61_cntlm.xml
Description
Le dictionnaire de cntlm ne possède pas les bonnes valeurs pour les règles iptables
les lignes des interfaces inverses network et netmask : <ip interface='eth1' netmask='adresse_network_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>adresse_netmask_eth1</ip>
Celles des vlans ne possèdent que netmask comme valeurs : <ip interface='eth1' netmask='vlan_netmask_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>vlan_netmask_eth1</ip>
ce qui donne dans iptables ceci: ACCEPT tcp -- 10.14.222.0/10.14.222.0 anywhere tcp dpt:3127 flags:FIN,SYN,RST,ACK/SYN
Je joins le dictionnaire tel que nous l'utilisons et auquel nous rajoutons aussi l’accès au "Réseaux supplémentaire autorisés a se connecter depuis cette interface", ce qui je pense est un manque dans le dictionnaire actuel.
Ceci est valable en 2.4 et aussi sur la rc de la 2.5
Révisions associées
Correction des règles de pare-feu pour Cntlm
Ref: #13533 @2h
Historique
#1 Mis à jour par Gaetan Mottier il y a plus de 8 ans
Précision : lorsque je parle de la rc 2.5, je parle de la rc 2.5.1
Et le dictionnaire joint est celui repris de mes tests en 2.5.1, les modifications apportés sont les mêmes que sur 2.4.2, il s'agit des balises <service_restriction>
#2 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tracker changé de Anomalie à Tâche
- Temps estimé mis à 3.00 h
- Tâche parente mis à #13526
- Restant à faire (heures) mis à 3.0
- Distribution changé de EOLE 2.4 à EOLE 2.5
Je confirme le bug sur ce dico.
Par contre, merci de créer un signalement dédié pour la demande d'évolution sur les réseaux supplémentaires.
NB : si celle-ci est implémenté nativement, nous devrons faire évoluer les modèles ERA en conséquence.
#3 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tâche parente
#13526supprimé
Après réflexion, cette demande n'est pas prioritaire car Amon n'utilise pas cette fonctionnalité (ERA power) et que le module "Eolebase + proxy" n'est pas stabilisé par ailleurs.
#4 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Version cible
Sprint 2015 42-44 - Équipe MENESRsupprimé
#5 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tracker changé de Tâche à Anomalie
#6 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tracker changé de Anomalie à Tâche
- Temps estimé changé de 3.00 h à 2.00 h
- Tâche parente mis à #13622
- Restant à faire (heures) changé de 3.0 à 2.0
#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de Nouveau à En cours
#8 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Assigné à mis à Joël Cuissinat
#9 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 2.0 à 0.25
- pour l'interface 0
-A eth0-root -s 192.168.0.0/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
- pour un VLAN déclaré dans l'interface de configuration du module
-A eth0-root -s <network_vlan>/24 -p tcp -m tcp --dport 3127 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
#10 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de En cours à Résolu
#11 Mis à jour par Philippe Caseiro il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0