Project

General

Profile

Tâche #15832

Distribution EOLE - Scénario #15554: Traitement express (13-15)

le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé

Added by Vincent Chavanon over 3 years ago. Updated over 3 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
04/11/2016
Due date:
% Done:

100%

Estimated time:
1.00 h
Spent time:
Remaining (hours):
0.0

Description

Soucis trouvé sur eSBL 2.5.2 : le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé.

Daniel propose le patch suivant, qui corrige le soucis sur eSBL :

--- distrib/forteresse.sh    2016-04-04 11:04:06.000000000 +0200
+++ modif/forteresse.sh    2016-04-11 17:19:52.054607616 +0200
@@ -87,9 +87,9 @@
                 µµµµµµµµµµ Get netmask attribute
                 %set %%res_mask = %%getattr(%%res_ssh,%%mask_attribute_name)
         /sbin/iptables -A INPUT -i %%interface_name -p tcp --syn -s %%res_ssh/%%res_mask --dport ssh -m state --state NEW -j ACCEPT
-        /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
             %end for
         %end if
+        /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
     %end if
     fi
     %end for

forteresse.sh.patch View (1.9 KB) Daniel Dehennin, 04/12/2016 11:22 AM

Associated revisions

Revision 2aa18dd2 (diff)
Added by Daniel Dehennin over 3 years ago

Forteresse: toujours accepter les paquets retours

Les paquets ESTABLISHED,RELATED ne sont acceptés que si le SSH est
activé pour l’interface.

Ces paquets devraient toujours être autorisés.

  • tmpl/forteresse.sh (forteresse_start): Factorisation de la règle
    d’autorisation des paquets ESTABLISHED,RELATED.

Ref: #15832

History

#1 Updated by Daniel Dehennin over 3 years ago

  • Description updated (diff)

#2 Updated by Daniel Dehennin over 3 years ago

  • Assigned To set to Daniel Dehennin
  • Estimated time set to 1.00 h

#3 Updated by Daniel Dehennin over 3 years ago

  • Parent task set to #15554

#4 Updated by Daniel Dehennin over 3 years ago

ERRATA

Depuis la 2.4.0, les paquets issues du serveurs sont bloqués si l’interface réseau correspondante n’est pas configurée pour autoriser les connexions SSH.

Le patch forteresse.sh.patch corrige le problème pour les versions 2.4.0 à 2.5.1 incluse.

Ce fichier est à placer dans le répertoire /usr/share/eole/creole/patch/ ou dans la variante.

Puis exécuter la commande reconfigure.

Ce problème est résolu dans la version 2.5.2.

#5 Updated by Scrum Master over 3 years ago

  • Status changed from Nouveau to En cours

#6 Updated by Scrum Master over 3 years ago

  • Status changed from En cours to Résolu

#7 Updated by Joël Cuissinat over 3 years ago

  • Remaining (hours) changed from 0.25 to 0.15

Errata : Vu => todo : vérifier la correction

#8 Updated by Joël Cuissinat over 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.15 to 0.0

Modification présente sur 2.5.2

Also available in: Atom PDF