Anomalie #1412
agregation : pas de ssh sur le deuxieme lien adsl
0%
Description
Dans le cas d'un établissement avec double lien il n'est pas possible de se connecter sur le amon via la 2ème ip publique...
A priori il manque les règles iptables correspondantes a l'alias ip d'eth0...
Pourriez vous rectifier cet oubli ?
Merci d'avance,
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 13 ans
- Assigné à mis à Gwenael Remond
#2 Mis à jour par Joël Cuissinat il y a environ 13 ans
- Version cible mis à Mises à jour 2.2.3 - 01 RC
#3 Mis à jour par Joël Cuissinat il y a environ 13 ans
- Projet changé de Amon à conf-amon
#4 Mis à jour par Joël Cuissinat il y a environ 13 ans
Réponse d'Olivier :
Nous avons un fichier /sbin/lance.firewall.acad qui est appelé par /sbin/lance.firewall) et qui contient :
# Autoriser ssh vers la 2eme ip publique dans le cas d'un lien agrégé %if %%alias_eth0 == "oui" %for %%reseau_ssh0 in %%ip_ssh_eth0 %for %%alias in %%alias_ip_eth0 /sbin/iptables -t filter -I ext-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth0 -s %%reseau_ssh0/%%reseau_ssh0.netmask_ssh_eth0 -d %%alias -j ACCEPT %end for %end for %end if
#5 Mis à jour par Gwenael Remond il y a environ 13 ans
- Statut changé de Nouveau à Pas un bug
- Version cible changé de Mises à jour 2.2.3 - 01 RC à EOLE 2.3 Stable
Pour pouvoir manipuler des alias, il faut pouvoir créer des extrémités (ou des zones) :
1) eth0:0 c'est le même réseau que eth0 donc ce qu'il faut faire dans Era c'est une extrémité
2) eth0:0 c'est pas le même réseau que eth0 donc ce qu'il faut faire dans Era c'est une zone
La fonctionnalité d'ajout de sous-réseaux à la zone bastion a été ajoutée (ici il s'agit de règles en input) avec Era pour eole 2.3, ce qui permet d'ajouter des extrémités correspondant aux aliases demandés.
#6 Mis à jour par Jerome Soyer il y a environ 13 ans
- Version cible
EOLE 2.3 Stablesupprimé