Tâche #19686
Scénario #19382: Traitement express MEN (10-12)
ERA/bastion doit pouvoir supporter un nom de modèle avec des accents
Description
Sur Amon 2.5.2, un nom de modèle avec accent provoque une erreur à la génération du firewall
Pour reproduire :
root@amon:~# rm /etc/eole/iptables root@amon:~# cp /usr/share/era/modeles/4zones.xml /usr/share/era/modeles/4zones-école.xml root@amon:~# CreoleSet type_amon 4zones-école root@amon:~# service bastion restart * Réinitialisation du pare-feu * Activation du mode forteresse sur eth0 * Activation du mode forteresse sur eth1 * Activation du mode forteresse sur eth2 * Activation du mode forteresse sur eth3 ...done. * Regénération des règles de pare-feuroot - 'ascii' codec can't encode character u'\xe9' in position 7: ordinal not in range(128) ...done. * Mise en cache des règles de pare-feu ...done. * Restauration des règles de pare-feu en cache ...done. Réseau Virtuel Privé Non Configuré root@amon:~# cat /etc/eole/iptables # Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Mon Mar 20 08:18:57 2017 # Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Mon Mar 20 08:18:57 2017 # Generated by iptables-save v1.4.21 on Mon Mar 20 08:18:57 2017 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Mon Mar 20 08:18:57 2017
Demande originale :
Ce matin, 2 établissements nous ont signalé que leur VPN n'était plus fonctionnel.
En jetant un oeil dans "afficher les logs complets" sur la page des serveurs concernés dans Zéphir on a toutes les 3 minutes "agent rvp : bastion arrêté, on ne relance pas rvp".
Sur ces Amon 2.5.2, un service bastion status renvoie : * Bastion n'est pas démarré : fichier lock non présent [fail]
Associated revisions
Correction plantage checkval avec accent + test unitaire
ref #19686 @1h
Support des caractères accentués pour la génération du firewall
ref #19686 @30m
Support des caractères accentués pour la génération du firewall
ref #19686 @30m
Revert "Support des caractères accentués pour la génération du firewall"
suite au merge de issue/20788
Supporté nativement par Creole ref #19686
This reverts commit a8318d377a6c76c2329f23a05a88febc5ca3c262.
History
#1 Updated by Olivier FEBWIN about 6 years ago
- File bastion.info.log View added
- File zephiragents.info.log View added
#2 Updated by Olivier FEBWIN about 6 years ago
ça pourrait bien être en relation avec #18328
#3 Updated by Olivier FEBWIN about 6 years ago
#4 Updated by Fabrice Barconnière about 6 years ago
- Status changed from Nouveau to En attente d'informations
- Assigned To set to Fabrice Barconnière
Il est normal que l'agent ne relance pas le VPN si bastion est arrêté.
Ce qui n'est pas normal, c'est que bastion ne le relance pas suite au logrotate d'après ce que je vois dans les logs.
Les règles iptables du modèle ERA sont-elles en place après le logrotate quand le VPN n'est pas relancé ?
Je pense que non, car il n'y a plus le lock/bastion, ce qui indique à l'agent de ne pas relancer le VPN.
#5 Updated by Fabrice Barconnière about 6 years ago
- File guardian.logrotate.patch View added
Au logrotate, CreoleRun "service bastion restart" root no yes >/dev/null régénère les règles iptables du modèle.
Cela prend du temps et peut poser problème si des services (comme un DNS forward, ...) sont inaccessibles à ce moment.
De plus, c'est inutile à ce moment là. La restauration du cache est suffisante.
Le régénération des règles se fait pendant le reconfigure.
Peux-tu essayer ce patch : guardian.logrotate.patch ?
Et faire un retour.
Merci
#6 Updated by Fabrice Barconnière about 6 years ago
J'ai même l'impression (peut-être fausse) qu'il y a un problème sur le modèle ERA.
Que donne service bastion restart ?
#7 Updated by Olivier FEBWIN about 6 years ago
effectivement il semble qu'il y ait un problème à ce niveau
root@0601864a-amon25:~# service bastion restart
* Réinitialisation du pare-feu * Activation du mode forteresse sur eth0 * Activation du mode forteresse sur eth1 * Activation du mode forteresse sur eth2 * Activation du mode forteresse sur eth3 * Activation du mode forteresse sur eth4 [ OK ]
* Regénération des règles de pare-feu (modèle "5zones")version du 19/01/17 Autorisation du nouveau serveur Carnet
root - 'ascii' codec can't encode character u'\xe9' in position 3: ordinal not in range(128)
******************************************************************
vendredi 17 mars 2017, 16:23:37 (UTC+0100)
Reconfigure en cours sur l'amon 2.5.2 en variante "Lycée 5 zones"
(0601864A)
id Zéphir : 780
Nom de la machine : 0601864a-amon25
eth0 = 10.66.5.240
eth1 = 10.60.84.240
eth2 = 172.16.0.1
eth3 = 10.160.84.240
eth4 = 192.168.254.240
******************************************************************
Autorisation des IP autorisées à se connecter sur le VLAN vidéosurveillance eth1.20
Mise en place des règles pour les affranchisseuses Néopost
Mise en place des règles pour les TPE de paiement de la bourse aux livres (dont la nouvelle IP 2016)
###### MATRICE DES FLUX LYCÉES (INFRA 2015) ######
Blocage des flux production > management (sauf pour les retours)
Mise en place des règles pour RNE-SECU (zone management > gestion)
Mise en place des règles pour RNE-SECU (zone DMZ > management)
Mise en place des règles pour RNE-SVM (zone DMZ > management)
Mise en place des règles pour l'intégration au domaine des machines en DMZ (zone DMZ > management)
Mise en place des règles pour la supervision (zone management > gestion)
Mise en place des règles pour la supervision (zone management > production)
Mise en place des règles pour System Center (zone DMZ > management)
Mise en place des règles pour Pronote.NET > Pronote (zone DMZ > management)
Mise en place des règles pour rebond sur les interfaces web de switchs en zone management via Rinetd installé sur le serveur Horus (zone Gestion > management)
###### FIN MATRICE DES FLUX LYCÉES (INFRA 2015) ######
Mise en place des règles pour la synchro BCDI web
Mise en place des règles pour la visioconférence
Redémarrage du réseau...
Removed VLAN -:eth1.20:-
ssh start/running, process 36210
ssh start/running, process 36284
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 20 to IF -:eth1:-
ssh start/running, process 36441
ssh start/running, process 36505
ssh start/running, process 36570
rsyslog stop/waiting
rsyslog start/running, process 36610
ssh start/running, process 36655
ssh start/running, process 36719
ssh start/running, process 36783
ssh start/running, process 36847
ssh start/running, process 36911
ssh start/running, process 36975
ssh start/running, process 37039
Réseau redémarré
Starting strongSwan 5.1.2 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Aucune personnalisation des règles pour cet établissement -> Application des règles standards
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -i eth2 -I INPUT -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -d http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I INPUT -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified
Try `iptables -h' or 'iptables --help' for more information.
[ OK ]
* Mise en cache des règles de pare-feu [ OK ]
* Restauration des règles de pare-feu en cache [ OK ]
* Arret du Reseau Virtuel Privé [ OK ]
* Lancement du Reseau Virtuel Privé [ OK ]
root@0601864a-amon25:~#
#8 Updated by Olivier FEBWIN about 6 years ago
Comment puis-je trouver d'où vient l'erreur
root - 'ascii' codec can't encode character u'\xe9' in position 3: ordinal not in range(128)
?
#9 Updated by Olivier FEBWIN about 6 years ago
pour les
Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified Try `iptables -h' or 'iptables --help' for more information. Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -i eth2 -I INPUT -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified Try `iptables -h' or 'iptables --help' for more information. Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I FORWARD -i eth2 -d http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified Try `iptables -h' or 'iptables --help' for more information. Gestion poste : erreur à la mise en place des restrictions de postes/destinations (/sbin/iptables -I INPUT -i eth2 -s http://boogiewoogiekid.com/cgi-bin -j REJECT): , iptables v1.4.21: invalid mask `cgi-bin' specified Try `iptables -h' or 'iptables --help' for more information.
il s'agissait d'une mauvaise saisie dans l'EAD
#10 Updated by Olivier FEBWIN about 6 years ago
Trouvé !
C'est
echo -e "\n\n******************************************************************\n`date`\nReconfigure en cours sur l'`CreoleGet eole_module` `CreoleGet eole_release` en variante \"Lycée 5 zones\"\n`CreoleGet libelle_etab` (`CreoleGet numero_etab`) \n\nid Zéphir : `ls /usr/share/zephir/monitor/data/config*|cut -d g -f2|cut -d . -f1`\n\nNom de la machine : `CreoleGet nom_machine`\neth0 = `CreoleGet adresse_ip_eth0` \neth1 = `CreoleGet adresse_ip_eth1`\neth2 = `CreoleGet adresse_ip_eth2`\neth3 = `CreoleGet adresse_ip_eth3`\neth4 = `CreoleGet adresse_ip_eth4`\n******************************************************************\n"
#11 Updated by Fabrice Barconnière about 6 years ago
- Tracker changed from Demande to Tâche
- Project changed from Amon to ERA
- Subject changed from Parfois bastion ne démarre pas à 6h30 sur Amon 2.5.2 > l'agent ne relance pas les VPN to ERA/bastion doit pouvoir supporter un nom de modèle avec des accents
- Description updated (diff)
- Status changed from En attente d'informations to Nouveau
- Estimated time set to 2.00 h
- Parent task set to #19382
- Remaining (hours) set to 2.0
#12 Updated by Fabrice Barconnière about 6 years ago
- Project changed from ERA to Distribution EOLE
- Description updated (diff)
- Assigned To deleted (
Fabrice Barconnière)
#13 Updated by Olivier FEBWIN about 6 years ago
le nom du modèle que j'utilise en comporte pas d'accent
#14 Updated by Fabrice Barconnière about 6 years ago
- Status changed from Nouveau to En cours
#15 Updated by Fabrice Barconnière about 6 years ago
- Assigned To set to Fabrice Barconnière
#16 Updated by Fabrice Barconnière about 6 years ago
- % Done changed from 0 to 100
- Remaining (hours) changed from 2.0 to 0.5
Corrigé en 2.5.1, 2.5.2 (même correctif, uniquement le script init bastion) et 2.6.1 (corrigé dans creole avec test unitaire).
#17 Updated by Gwenael Remond about 6 years ago
- Status changed from En cours to Fermé
- Remaining (hours) changed from 0.5 to 0.0
#18 Updated by Fabrice Barconnière about 6 years ago
- Status changed from Fermé to Résolu
- Remaining (hours) changed from 0.0 to 0.5
#19 Updated by Scrum Master about 6 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.5 to 0.0
#20 Updated by Olivier FEBWIN about 6 years ago
- File Capture du 2017-03-22 08-50-41.png View added
Encore 6 problèmes de VPN sur les amon 2.5.2 ce matin à cause de ce problème de bastion.
Les règles de pare-feu sont bien en place.
#21 Updated by Olivier FEBWIN about 6 years ago
Je ne pense pas que mon problème vienne d'un problème d'accent dans le nom du modèle .xml puisque celui-ci n'en contient pas...
J'essaie de faire une rustine en essayant de relancer bastion par cron s'il est arrêté mais ça ne fonctionne pas.
Voici ce que j'ai placé dans /etc/cron.d/relance_bastion :
0 7 * * * root if [ -f /var/run/lock/bastion ]; then echo "`date` : Le verrou /var/run/lock/bastion est présent ; on ne relance pas bastion" >> /var/log/syslog; else echo -e "`date` : Le verrou /var/run/lock/bastion n'est pas présent ; on relance bastion !" >> /var/log/syslog; /usr/bin/CreoleService bastion restart; fi;
#22 Updated by Olivier FEBWIN about 6 years ago
il me manquait
SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin