Tâche #15832
Distribution EOLE - Scénario #15554: Traitement express (13-15)
le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé
Description
Soucis trouvé sur eSBL 2.5.2 : le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé.
Daniel propose le patch suivant, qui corrige le soucis sur eSBL :
--- distrib/forteresse.sh 2016-04-04 11:04:06.000000000 +0200 +++ modif/forteresse.sh 2016-04-11 17:19:52.054607616 +0200 @@ -87,9 +87,9 @@ µµµµµµµµµµ Get netmask attribute %set %%res_mask = %%getattr(%%res_ssh,%%mask_attribute_name) /sbin/iptables -A INPUT -i %%interface_name -p tcp --syn -s %%res_ssh/%%res_mask --dport ssh -m state --state NEW -j ACCEPT - /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT %end for %end if + /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT %end if fi %end for
Associated revisions
Forteresse: toujours accepter les paquets retours
Les paquets ESTABLISHED,RELATED ne sont acceptés que si le SSH est
activé pour l’interface.
Ces paquets devraient toujours être autorisés.
- tmpl/forteresse.sh (forteresse_start): Factorisation de la règle
d’autorisation des paquets ESTABLISHED,RELATED.
Ref: #15832
History
#1 Updated by Daniel Dehennin almost 7 years ago
- Description updated (diff)
#2 Updated by Daniel Dehennin almost 7 years ago
- Assigned To set to Daniel Dehennin
- Estimated time set to 1.00 h
#3 Updated by Daniel Dehennin almost 7 years ago
- Parent task set to #15554
#4 Updated by Daniel Dehennin almost 7 years ago
- File forteresse.sh.patch View added
- % Done changed from 0 to 100
- Remaining (hours) set to 0.25
ERRATA¶
Depuis la 2.4.0, les paquets issues du serveurs sont bloqués si l’interface réseau correspondante n’est pas configurée pour autoriser les connexions SSH.
Le patch forteresse.sh.patch corrige le problème pour les versions 2.4.0 à 2.5.1 incluse.
Ce fichier est à placer dans le répertoire /usr/share/eole/creole/patch/ ou dans la variante.
Puis exécuter la commande reconfigure.
Ce problème est résolu dans la version 2.5.2.
#5 Updated by Scrum Master almost 7 years ago
- Status changed from Nouveau to En cours
#6 Updated by Scrum Master almost 7 years ago
- Status changed from En cours to Résolu
#7 Updated by Joël Cuissinat almost 7 years ago
- Remaining (hours) changed from 0.25 to 0.15
Errata : Vu => todo : vérifier la correction
#8 Updated by Joël Cuissinat almost 7 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.15 to 0.0
Modification présente sur 2.5.2