Project

General

Profile

Tâche #17141

Distribution EOLE - Scénario #19809: Assistance aux utilisateurs (13-15)

Erreur lors de la génération des regles de pare-feu pour les interfaces 1 et 2

Added by Jean-Marc MELET over 3 years ago. Updated almost 3 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/16/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Je ne sais pas si c'est un scorie de la migration des variables de 2.3 en 2.5 mais nous avons remarqué que lorsque la valeur de "Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" est à "non" pour les interfaces 1 et 2, cela provoque une erreur dans la génération des règles de pare-feu:

Génération des règles de pare-feu (modèle "5zones-AixMars")
 variable inconnue : netmask_admin_eth2 dans la regle : /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport %%lightsquid_port --tcp-flags SYN,RST,ACK SYN -i %%nom_zone_eth2 -s %%ip_admin_eth2/%%netmask_admin_eth2 -d %%adresse_ip_eth2 -j ACCEPT

non appliquées !
Erreur à la génération des règles de pare-feu
run-parts: /usr/share/eole/posttemplate/00-eole-common exited with return code 1
Erreur : posttemplate

5zones-AixMars.xml View (52.3 KB) Jean-Marc MELET, 09/23/2016 10:48 AM

amon-2.5-0130178Y.tar.gz (2.57 MB) Jean-Marc MELET, 09/23/2016 10:48 AM

active_tags.patch View (7.68 KB) Jean-Marc MELET, 04/10/2017 03:45 PM

History

#1 Updated by Philippe Caseiro over 3 years ago

  • Assigned To set to Philippe Caseiro

#2 Updated by Philippe Caseiro over 3 years ago

  • Status changed from Nouveau to En attente d'informations

Bonjour,

Je viens d'essayer de reproduire le problème avec un Amon 2.5.2.1 à jour avec 5 cartes.

J'ai mis non dans "Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" pour les interfaces 1 et 2 et je n'ai pas d'erreur de génération des règles de firewall.

Pouvez-vous lancer la commande gen_rpt et nous faire parvenir le résultat par mail ?

Nous aurions également besoin d'une copie de votre modèle Era qui semble être une variation du modèle standard 5 zones.

Merci d'avance.

#3 Updated by Jean-Marc MELET over 3 years ago

Bonjour,

Voici les fichiers comme demandé (j'ai trouvé plus pratique de les déposer ici pour le suivi).
J'avais d'abord supposé un problème d'importation de variable lors de la migration comme nous avons eu le cas pour d'autres, mais j'ai le même problème en refixant la valeur à non dans Zéphir avant. Par contre c'est vrai que que n'ai pas testé sur un Amon 2.5 non migré mais je peux le faire si nécessaire mais comme l'erreur se situe sur une variable du dico et une règle du modèle de la distrib, j'ai écarté l'hypothèse d'adaptations académiques.

Merci

#4 Updated by Gérald Schwartzmann over 3 years ago

  • Status changed from En attente d'informations to Nouveau

#5 Updated by Joël Cuissinat about 3 years ago

  • Assigned To changed from Philippe Caseiro to Joël Cuissinat
  • Estimated time set to 2.00 h
  • Parent task set to #19809

#6 Updated by Joël Cuissinat about 3 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 0 to 20
  • Remaining (hours) set to 1.0

Dans le modèle 5zones-AixMars.xml, je constate l'utilisation d'un tag activer_lightsquid qui n'existe pas dans le template active_tags et n’apparaît pas non plus dans tes patches alors que les règles natives concernant lightsquid utilisent un tag par interface : lightsquid1, lightsquid2, ...

J'ai du mal à voir si c'est bien la source du problème mais c'est une piste :)

#7 Updated by Jean-Marc MELET almost 3 years ago

Visiblement gen_rpt ne récupère pas les patches descendus par variante, nous avons bien un patch (cf active_tags.patch ajouté en PJ) qui utilise le tag activer_lightsquid. De plus, l'erreur qui nous était retournée portait apparement plutot sur les variables netmask_admin_eth*.
J'ai remonté le problème surtout pour la forme et si jamais c'était révélateur d'un problème de fond plus grave. Maintenant ce n'est pas critique, nous nous somme adaptés en activant systématiquement ""Autoriser les connexions pour administrer le serveur (EAD, phpMyAdmin, ...)" lors des migrations, et nous avons quasiment terminé la campagne. Même si on est toujours preneur d'une solution ce n'est pas non plus une priorité.

#8 Updated by Joël Cuissinat almost 3 years ago

  • Status changed from En cours to Fermé
  • % Done changed from 20 to 100
  • Remaining (hours) changed from 1.0 to 0.0

Même sans avoir tous les éléments, je pense que j'avais à peu près trouvé la cause de ton problème :)

À partir d'EOLE 2.4, les variables %%ip_admin_ethX et %%netmask_admin_ethX sont désactivées (disabled) si %%admin_ethX est à "non" donc si tu veux utiliser ces variables dans les règles générées, il faut faire un tag par interface afin de ne générer les règles contenant des variables désactivées.

#9 Updated by Jean-Marc MELET almost 3 years ago

OK ça doit être ça alors, bon on va réfléchir à adapter nos conditions si on veut régler ce petit désagrément, en tout cas merci d'avoir passé du temps là-dessus ;)

Also available in: Atom PDF