Tâche #13977
Scénario #11962: Les inclusions statiques Era doivent être exécuté à chaque lancement de bastion
Création d'un cache des inclusions statiques + lancement du cache au démarrage de bastion
Description
Gwenael Remond a écrit :
[...] Il faudrait :
1) séparer les inclusions statiques du lance.firewall et les mettre dans un fichier (ailleurs ou bien dans
/sbin/
) il faut générer un fichier avec le contenu des inclusions statiques
2) exécuter ce fichier a chaque reload (service bastion restart
)
Révisions associées
les inclusions statiques doivent être réexécuté à chaque démarrage de bastion (ref #13977 @2h)
les inclusions statiques doivent être réexécuté à chaque démarrage de bastion (ref #13977)
bastion : cache inclusions statiques restauré après iptables-restore
bastion/bastion : on restaure le cache des inclusions statiques après la
restauration globale du modèle pour éviter que ces règles soient
flushées.
ref #13977 @1h
bastion : le test du code retour concerne iptables-restore
bastion/bastion : la variable RETVAL était induement affectée du code retour du
test de présence du fichier des inclusions statiques. Il fallait lui
affecter le code retour de la commande iptables-restore
ref #13977 @15m
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Description mis à jour (diff)
- Temps estimé changé de 2.00 h à 4.00 h
- Restant à faire (heures) changé de 2.0 à 4.0
#2 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de Nouveau à En cours
#3 Mis à jour par Scrum Master il y a plus de 8 ans
- Description mis à jour (diff)
- Assigné à mis à Emmanuel GARETTE
#4 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 4.0 à 0.25
#5 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#6 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de Résolu à En cours
- % réalisé changé de 100 à 80
Le fichier cache est généré et est bien exécuté dans /etc/init.d/bastion restart.
Les inclusions statiques sont mises en place temporairement puis elles sautent avant la fin de l'exécution du restart.
En fait la commande iptables-restore fait un flush des règles. L'option -n permet d'éviter le flush mais on se retrouve avec des règles en double si fait un restart car . /usr/share/eole/firewall.start met déjà en place des règles. Il faudrait faire en flush après . /usr/share/eole/firewall.start dans le restart (et peut-être ailleurs, bref à étudier).
#7 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Restant à faire (heures) changé de 0.25 à 1.0
#8 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 80 à 100
- Restant à faire (heures) changé de 1.0 à 0.25
#9 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#10 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de Résolu à En cours
#11 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 100 à 90
inclusion déplacée au mauvais endroit. On ne s'en rend pas compte sur un serveur avec ERA.
Sur un serveur sans ERA, il n'y a pas d'inclusion statique donc pas de fichier. Le code retour juste après le test de présence du fichier était pour iptables-restore.
#12 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 90 à 100
#13 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#14 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0
OK