Tâche #13796: Impossibilité de générer une règle iptables comportant une directive de DNAT pour un service comprenant plusieurs ports - ERA - Ensemble Ouvert Libre Évolutif

Tâche #13796

Distribution EOLE - Scénario #13756: Assistance aux utilisateurs (45-47)

Impossibilité de générer une règle iptables comportant une directive de DNAT pour un service comprenant plusieurs ports

Ajouté par Thierry Jambou il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Emmanuel GARETTE

Version cible:

Distribution EOLE - Sprint 2015 45-47 - Équipe MENESR

Début:

28/10/2015

Echéance:

% réalisé:

100%

Temps estimé:

4.00 h

Temps passé:

4.10 h

Restant à faire (heures):

0.0

Description

Dans ERA, lors de l'élaboration d'une directive composée d'une action de type DNAT avec un service ayant plusieurs ports (ex : service ftp-tcp - protocole TCP - ports 20, 21) ou un groupe de service comportant ce service, la génération du script iptables plante en mettant le message :
"directive de type DNAT sans port de destination avec un liste de port non pris en charge"

Plusieurs services sont concernés dans le variante essl-SPC, le service samba-udp (udp - ports 137,138,139), samba-tcp par ricochet le groupe de service samba, idem pour les services ftp-tcp et ftps et, du coup, le groupe gr_ftp

Solution de contournement mise en oeuvre :
- création de services "monoport" ftp-tcp20, ftp-tcp21, samba-udp-137, 138, 139 ... et création de nouveaux groupes reprenant ces services (ex : gr_ftp2 avec les services ftp-tcp20 ftp-tcp21 ftps989, ftps990 ...)
- modification des directives concernées dans les modèles 3 4 et 5 zones pour prendre en compte ces nouveaux groupes de services.