Project

General

Profile

Tâche #19686

Scénario #19382: Traitement express MEN (10-12)

ERA/bastion doit pouvoir supporter un nom de modèle avec des accents

Added by Olivier FEBWIN over 2 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Normal
Start date:
03/15/2017
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Sur Amon 2.5.2, un nom de modèle avec accent provoque une erreur à la génération du firewall

Pour reproduire :

root@amon:~# rm /etc/eole/iptables

root@amon:~# cp /usr/share/era/modeles/4zones.xml /usr/share/era/modeles/4zones-école.xml

root@amon:~# CreoleSet type_amon 4zones-école

root@amon:~# service bastion restart
 * Réinitialisation du pare-feu
 * Activation du mode forteresse sur eth0
 * Activation du mode forteresse sur eth1
 * Activation du mode forteresse sur eth2
 * Activation du mode forteresse sur eth3
   ...done.
 * Regénération des règles de pare-feuroot - 'ascii' codec can't encode character u'\xe9' in position 7: ordinal not in range(128)
   ...done.
 * Mise en cache des règles de pare-feu
   ...done.
 * Restauration des règles de pare-feu en cache
   ...done.
Réseau Virtuel Privé Non Configuré

root@amon:~# cat /etc/eole/iptables
# Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Mon Mar 20 08:18:57 2017
# Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Mon Mar 20 08:18:57 2017
# Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Mar 20 08:18:57 2017


Demande originale :

Ce matin, 2 établissements nous ont signalé que leur VPN n'était plus fonctionnel.
En jetant un oeil dans "afficher les logs complets" sur la page des serveurs concernés dans Zéphir on a toutes les 3 minutes "agent rvp : bastion arrêté, on ne relance pas rvp".

Sur ces Amon 2.5.2, un service bastion status renvoie : * Bastion n'est pas démarré : fichier lock non présent [fail]

bastion.info.log View (3.77 KB) Olivier FEBWIN, 03/15/2017 10:23 AM

zephiragents.info.log View (30.7 KB) Olivier FEBWIN, 03/15/2017 10:23 AM

guardian.logrotate.patch View (407 Bytes) Fabrice Barconnière, 03/17/2017 04:02 PM

Capture du 2017-03-22 08-50-41.png View (170 KB) Olivier FEBWIN, 03/22/2017 09:04 AM

Associated revisions

Revision b660ff86 (diff)
Added by Fabrice Barconnière over 2 years ago

Correction plantage checkval avec accent + test unitaire

ref #19686 @1h

Revision d80770d6 (diff)
Added by Fabrice Barconnière over 2 years ago

Support des caractères accentués pour la génération du firewall

ref #19686 @30m

Revision a8318d37 (diff)
Added by Fabrice Barconnière over 2 years ago

Support des caractères accentués pour la génération du firewall

ref #19686 @30m

Revision 9511124c (diff)
Added by Fabrice Barconnière over 2 years ago

Revert "Support des caractères accentués pour la génération du firewall"
suite au merge de issue/20788
Supporté nativement par Creole ref #19686

This reverts commit a8318d377a6c76c2329f23a05a88febc5ca3c262.

History

#2 Updated by Olivier FEBWIN over 2 years ago

ça pourrait bien être en relation avec #18328

#4 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Nouveau to En attente d'informations
  • Assigned To set to Fabrice Barconnière

Il est normal que l'agent ne relance pas le VPN si bastion est arrêté.
Ce qui n'est pas normal, c'est que bastion ne le relance pas suite au logrotate d'après ce que je vois dans les logs.

Les règles iptables du modèle ERA sont-elles en place après le logrotate quand le VPN n'est pas relancé ?

Je pense que non, car il n'y a plus le lock/bastion, ce qui indique à l'agent de ne pas relancer le VPN.

#5 Updated by Fabrice Barconnière over 2 years ago

Au logrotate, CreoleRun "service bastion restart" root no yes >/dev/null régénère les règles iptables du modèle.
Cela prend du temps et peut poser problème si des services (comme un DNS forward, ...) sont inaccessibles à ce moment.
De plus, c'est inutile à ce moment là. La restauration du cache est suffisante.
Le régénération des règles se fait pendant le reconfigure.
Peux-tu essayer ce patch : guardian.logrotate.patch ?
Et faire un retour.

Merci

#6 Updated by Fabrice Barconnière over 2 years ago

J'ai même l'impression (peut-être fausse) qu'il y a un problème sur le modèle ERA.
Que donne service bastion restart ?

#7 Updated by Olivier FEBWIN over 2 years ago

effectivement il semble qu'il y ait un problème à ce niveau

root@0601864a-amon25:~#  service bastion restart
 * Réinitialisation du pare-feu                                                                                                                                                                                     * Activation du mode forteresse sur eth0                                                                                                                                                                           * Activation du mode forteresse sur eth1                                                                                                                                                                           * Activation du mode forteresse sur eth2                                                                                                                                                                           * Activation du mode forteresse sur eth3                                                                                                                                                                           * Activation du mode forteresse sur eth4                                                                                                                                                                   [ OK ] 
 * Regénération des règles de pare-feu (modèle "5zones")version du 19/01/17 Autorisation du nouveau serveur Carnet
root - 'ascii' codec can't encode character u'\xe9' in position 3: ordinal not in range(128)

******************************************************************
vendredi 17 mars 2017, 16:23:37 (UTC+0100)
Reconfigure en cours sur l'amon 2.5.2 en variante "Lycée 5 zones" 
 (0601864A) 

id Zéphir : 780

Nom de la machine : 0601864a-amon25
eth0 = 10.66.5.240 
eth1 = 10.60.84.240
eth2 = 172.16.0.1
eth3 = 10.160.84.240
eth4 = 192.168.254.240
******************************************************************

Autorisation des IP autorisées à se connecter sur le VLAN vidéosurveillance eth1.20
Mise en place des règles pour les affranchisseuses Néopost
Mise en place des règles pour les TPE de paiement de la bourse aux livres (dont la nouvelle IP 2016)

###### MATRICE DES FLUX LYCÉES (INFRA 2015) ######
Blocage des flux production > management (sauf pour les retours)
Mise en place des règles pour RNE-SECU (zone management > gestion)
Mise en place des règles pour RNE-SECU (zone DMZ > management)
Mise en place des règles pour RNE-SVM (zone DMZ > management)
Mise en place des règles pour l'intégration au domaine des machines en DMZ (zone DMZ > management)
Mise en place des règles pour la supervision (zone management > gestion)
Mise en place des règles pour la supervision (zone management > production)
Mise en place des règles pour System Center (zone DMZ > management)
Mise en place des règles pour Pronote.NET > Pronote (zone DMZ > management)
Mise en place des règles pour rebond sur les interfaces web de switchs en zone management via Rinetd installé sur le serveur Horus (zone Gestion > management)
###### FIN MATRICE DES FLUX LYCÉES (INFRA 2015) ######

Mise en place des règles pour la synchro BCDI web
Mise en place des règles pour la visioconférence
Redémarrage du réseau...
Removed VLAN -:eth1.20:-
ssh start/running, process 36210
ssh start/running, process 36284
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 20 to IF -:eth1:-
ssh start/running, process 36441
ssh start/running, process 36505
ssh start/running, process 36570
rsyslog stop/waiting
rsyslog start/running, process 36610
ssh start/running, process 36655
ssh start/running, process 36719
ssh start/running, process 36783
ssh start/running, process 36847
ssh start/running, process 36911
ssh start/running, process 36975
ssh start/running, process 37039
Réseau redémarré
Starting strongSwan 5.1.2 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Aucune personnalisation des règles pour cet établissement -> Application des règles standards
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -i eth2 -I INPUT -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -d http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I INPUT -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
                                                                                                                                                                                                            [ OK ]
 * Mise en cache des règles de pare-feu                                                                                                                                                                     [ OK ] 
 * Restauration des règles de pare-feu en cache                                                                                                                                                             [ OK ] 
 * Arret du Reseau Virtuel Privé                                                                                                                                                                            [ OK ] 
 * Lancement du Reseau Virtuel Privé                                                                                                                                                                        [ OK ] 
root@0601864a-amon25:~#

#8 Updated by Olivier FEBWIN over 2 years ago

Comment puis-je trouver d'où vient l'erreur

root - 'ascii' codec can't encode character u'\xe9' in position 3: ordinal not in range(128)

?

#9 Updated by Olivier FEBWIN over 2 years ago

pour les

Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -i eth2 -I INPUT -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -d http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I INPUT -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.

il s'agissait d'une mauvaise saisie dans l'EAD

#10 Updated by Olivier FEBWIN over 2 years ago

Trouvé !
C'est

echo -e "\n\n******************************************************************\n`date`\nReconfigure en cours sur l'`CreoleGet eole_module` `CreoleGet eole_release` en variante \"Lycée 5 zones\"\n`CreoleGet libelle_etab` (`CreoleGet numero_etab`) \n\nid Zéphir : `ls /usr/share/zephir/monitor/data/config*|cut -d g -f2|cut -d . -f1`\n\nNom de la machine : `CreoleGet nom_machine`\neth0 = `CreoleGet adresse_ip_eth0` \neth1 = `CreoleGet adresse_ip_eth1`\neth2 = `CreoleGet adresse_ip_eth2`\neth3 = `CreoleGet adresse_ip_eth3`\neth4 = `CreoleGet adresse_ip_eth4`\n******************************************************************\n" 

#11 Updated by Fabrice Barconnière over 2 years ago

  • Tracker changed from Demande to Tâche
  • Project changed from Amon to ERA
  • Subject changed from Parfois bastion ne démarre pas à 6h30 sur Amon 2.5.2 > l'agent ne relance pas les VPN to ERA/bastion doit pouvoir supporter un nom de modèle avec des accents
  • Description updated (diff)
  • Status changed from En attente d'informations to Nouveau
  • Estimated time set to 2.00 h
  • Parent task set to #19382
  • Remaining (hours) set to 2.0

#12 Updated by Fabrice Barconnière over 2 years ago

  • Project changed from ERA to Distribution EOLE
  • Description updated (diff)
  • Assigned To deleted (Fabrice Barconnière)

#13 Updated by Olivier FEBWIN over 2 years ago

le nom du modèle que j'utilise en comporte pas d'accent

#14 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Nouveau to En cours

#15 Updated by Fabrice Barconnière over 2 years ago

  • Assigned To set to Fabrice Barconnière

#16 Updated by Fabrice Barconnière over 2 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.0 to 0.5

Corrigé en 2.5.1, 2.5.2 (même correctif, uniquement le script init bastion) et 2.6.1 (corrigé dans creole avec test unitaire).

#17 Updated by Gwenael Remond over 2 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

#18 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Fermé to Résolu
  • Remaining (hours) changed from 0.0 to 0.5

#19 Updated by Scrum Master over 2 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

#20 Updated by Olivier FEBWIN over 2 years ago

Encore 6 problèmes de VPN sur les amon 2.5.2 ce matin à cause de ce problème de bastion.
Les règles de pare-feu sont bien en place.

#21 Updated by Olivier FEBWIN over 2 years ago

Je ne pense pas que mon problème vienne d'un problème d'accent dans le nom du modèle .xml puisque celui-ci n'en contient pas...
J'essaie de faire une rustine en essayant de relancer bastion par cron s'il est arrêté mais ça ne fonctionne pas.
Voici ce que j'ai placé dans /etc/cron.d/relance_bastion :

0 7  * * *   root if [ -f /var/run/lock/bastion ]; then echo "`date` : Le verrou /var/run/lock/bastion est présent ; on ne relance pas bastion" >> /var/log/syslog; else echo -e "`date` : Le verrou /var/run/lock/bastion n'est pas présent ; on relance bastion !" >> /var/log/syslog; /usr/bin/CreoleService bastion restart; fi;

#22 Updated by Olivier FEBWIN over 2 years ago

il me manquait

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

Also available in: Atom PDF