Tâche #13796: Impossibilité de générer une règle iptables comportant une directive de DNAT pour un service comprenant plusieurs ports - ERA - Ensemble Ouvert Libre Évolutif

Tâche #13796

Distribution EOLE - Scénario #13756: Assistance aux utilisateurs (45-47)

Impossibilité de générer une règle iptables comportant une directive de DNAT pour un service comprenant plusieurs ports

Added by Thierry Jambou almost 8 years ago. Updated almost 8 years ago.

Status:

Fermé

Priority:

Normal

Assigned To:

Emmanuel GARETTE

Target version:

Distribution EOLE - Sprint 2015 45-47 - Équipe MENESR

Start date:

10/28/2015

Due date:

% Done:

100%

Estimated time:

4.00 h

Spent time:

4.10 h

Remaining (hours):

0.0

Description

Dans ERA, lors de l'élaboration d'une directive composée d'une action de type DNAT avec un service ayant plusieurs ports (ex : service ftp-tcp - protocole TCP - ports 20, 21) ou un groupe de service comportant ce service, la génération du script iptables plante en mettant le message :
"directive de type DNAT sans port de destination avec un liste de port non pris en charge"

Plusieurs services sont concernés dans le variante essl-SPC, le service samba-udp (udp - ports 137,138,139), samba-tcp par ricochet le groupe de service samba, idem pour les services ftp-tcp et ftps et, du coup, le groupe gr_ftp

Solution de contournement mise en oeuvre :
- création de services "monoport" ftp-tcp20, ftp-tcp21, samba-udp-137, 138, 139 ... et création de nouveaux groupes reprenant ces services (ex : gr_ftp2 avec les services ftp-tcp20 ftp-tcp21 ftps989, ftps990 ...)
- modification des directives concernées dans les modèles 3 4 et 5 zones pour prendre en compte ces nouveaux groupes de services.