Projet

Général

Profil

Tâche #15832

Distribution EOLE - Scénario #15554: Traitement express (13-15)

le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé

Ajouté par Vincent Chavanon il y a environ 8 ans. Mis à jour il y a environ 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Daniel Dehennin
Version cible:
Distribution EOLE - sprint 2016 13-15 - Equipe MENESR
Début:
11/04/2016
Echéance:
% réalisé:

100%

Temps estimé:
1.00 h
Temps passé:
0.67 h
Restant à faire (heures):
0.0

Description

Soucis trouvé sur eSBL 2.5.2 : le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé.

Daniel propose le patch suivant, qui corrige le soucis sur eSBL :

--- distrib/forteresse.sh    2016-04-04 11:04:06.000000000 +0200
+++ modif/forteresse.sh    2016-04-11 17:19:52.054607616 +0200
@@ -87,9 +87,9 @@
                 µµµµµµµµµµ Get netmask attribute
                 %set %%res_mask = %%getattr(%%res_ssh,%%mask_attribute_name)
         /sbin/iptables -A INPUT -i %%interface_name -p tcp --syn -s %%res_ssh/%%res_mask --dport ssh -m state --state NEW -j ACCEPT
-        /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
             %end for
         %end if
+        /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
     %end if
     fi
     %end for

forteresse.sh.patch Voir (1,9 ko) Daniel Dehennin, 12/04/2016 11:22

Révisions associées

Révision 2aa18dd2 (diff)
Ajouté par Daniel Dehennin il y a environ 8 ans

Forteresse: toujours accepter les paquets retours

Les paquets ESTABLISHED,RELATED ne sont acceptés que si le SSH est
activé pour l’interface.

Ces paquets devraient toujours être autorisés.

  • tmpl/forteresse.sh (forteresse_start): Factorisation de la règle
    d’autorisation des paquets ESTABLISHED,RELATED.

Ref: #15832

Historique

#1 Mis à jour par Daniel Dehennin il y a environ 8 ans

  • Description mis à jour (diff)

#2 Mis à jour par Daniel Dehennin il y a environ 8 ans

  • Assigné à mis à Daniel Dehennin
  • Temps estimé mis à 1.00 h

#3 Mis à jour par Daniel Dehennin il y a environ 8 ans

  • Tâche parente mis à #15554

#4 Mis à jour par Daniel Dehennin il y a environ 8 ans

ERRATA

Depuis la 2.4.0, les paquets issues du serveurs sont bloqués si l’interface réseau correspondante n’est pas configurée pour autoriser les connexions SSH.

Le patch forteresse.sh.patch corrige le problème pour les versions 2.4.0 à 2.5.1 incluse.

Ce fichier est à placer dans le répertoire /usr/share/eole/creole/patch/ ou dans la variante.

Puis exécuter la commande reconfigure.

Ce problème est résolu dans la version 2.5.2.

#5 Mis à jour par Scrum Master il y a environ 8 ans

  • Statut changé de Nouveau à En cours

#6 Mis à jour par Scrum Master il y a environ 8 ans

  • Statut changé de En cours à Résolu

#7 Mis à jour par Joël Cuissinat il y a environ 8 ans

  • Restant à faire (heures) changé de 0.25 à 0.15

Errata : Vu => todo : vérifier la correction

#8 Mis à jour par Joël Cuissinat il y a environ 8 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.15 à 0.0

Modification présente sur 2.5.2

Formats disponibles : Atom PDF