Tâche #23723
Scénario #23986: Assistance aux utilisateurs (23-25)
Permettre un usage académique d'ipset en dehors des groupes de machines
Description
Nous souhaiterions pouvoir utiliser des ipset au niveau académique, que ce soit pour gérer des listes d'adresses IP externes autorisées ou la répartition de charge.
Amon considère que tous les ipset sont des groupes de machines qu'il devrait lui-même gérer.
En particulier, lors de la création d'un groupe de machine ou de la génération des règles du bastion, il tente de supprimer tous les ipset qu'il ne connaît pas et retourne un message d'erreur.
Serait-il possible de préfixer les ipset gérés par le amon et de ne pas toucher aux autres ou à l'inverse autoriser des ipset préfixés par "local_" ou "acad_" qui ne seraient pas touchés le serveur Amon ?
Demandes liées
Historique
#1 Mis à jour par Gwenael Remond il y a presque 6 ans
- Assigné à mis à Gwenael Remond
Bonjour,
Les règles ipsets gérées par amon sont déjà préfixés (par bastion-), et donc ça n'engendrerait aucun développement de ne pas choisir d'effacer tous les ipsets.
Mais il se trouve que la politique actuelle du pare-feu amon est de centraliser les règles, donc d'effacer toutes les règles iptables et toutes les règles ipsets puis de les re-générer (avec la commande bastion regen).
Si vous voulez que vos règles ipsets soient prises en compte et persistantes, je vous conseille d'ajouter vos règles ipsets dans le modèle XML Era que vous utilisez au niveau des inclusions statiques :
http://eole.ac-dijon.fr/documentations/2.5/partielles/HTML/ERA/co/6-InclusionStatique.html
Dans les inclusions statiques vous pouvez mettre des règles iptables, des règles ipsets, etc... Elles seront exécutées.
Vos règles ipsets spécifiques ne seront pas générées par amon mais elles seront gérées (incluse telles quelles statiquement) à chaque reconfigure, bastion regen, etc.
Cordialement,
Gwen
#2 Mis à jour par Joël Cuissinat il y a presque 6 ans
- Tâche parente mis à #23986
#3 Mis à jour par Joël Cuissinat il y a presque 6 ans
- Projet changé de Amon à Distribution EOLE
- Statut changé de Nouveau à En cours
#4 Mis à jour par Laurent HAEFFELE il y a presque 6 ans
Le problème, ce n'est pas vraiment l'inclusion des règles statiques (qu'on utilise déjà), mais le fait que l'EAD2 ne semble pas supporter le fait d'avoir des ipsets externes lorsqu'on touche aux règles de filtrage sur un groupe de machine ou qu'on active/désactive une règle optionnelle.
J'ai testé cela sur un Amon 2.5.1. Je peux éventuellement tester cela demain sur un 2.7 si cela peut faire avance le schmilblick.
#5 Mis à jour par Laurent HAEFFELE il y a presque 6 ans
- Fichier Capture d’écran de 2018-06-13 09-43-20.png Voir ajouté
Le problème est toujours présent sur Amon 2.7.
Exemple de création et utilisation d'un ipset dans les inclusions statiques :
ipset -q create toto hash:ip family inet ipset add toto 1.1.1.1 iptables -w -I FORWARD -m state --state NEW -i eth2 -o eth0 -m set --match-set toto dst -p tcp --dport "80" -j ACCEPT
On va ensuite dans l'EAD2 pour ajouter un groupe de machine et badaboum:
Message d'erreur (ci-joint) lors de la création d'un nouveau groupe de machine (idem lors de la suppression):
Erreur : erreur lors de la suppression du set d'ip toto
C'est sans doute lié au fait que la commande "ipset destroy toto" retourne "ipset v6.34: Set cannot be destroyed: it is in use by a kernel component" puisque l'ipset est utilisé dans une règle iptables ...
#6 Mis à jour par Gwenael Remond il y a presque 6 ans
OK j'ai compris le problème.
Je suis en train d'ajouter un préfixe (le choix du préfixe local_ me semble une bonne idée) pour ne plus avoir ce message d'erreur.
Ceci dit c'est un changement de comportement de l'ipset, donc c'est sujet à validation de l'Équipe. On va prendre une décision.
#7 Mis à jour par Gwenael Remond il y a presque 6 ans
- Temps estimé mis à 0.00 h
- Restant à faire (heures) mis à 0.0
#8 Mis à jour par Gwenael Remond il y a presque 6 ans
Après réunion de l'équipe, nous avons décidé de faire la modification que tu as demandée.
"J'ai testé cela sur un Amon 2.5.1" -> Attention nous avons fait la modification sur Amon 2.5.2, Amon 2.6.1 et Amon 2.6.2 mais pas sur un 2.5.1
Un Maj-Auto va te récupérer la modif, si tu veux bien re-tester (avec tes règles ipsets nommées local_ donc)
Merci
#9 Mis à jour par Joël Cuissinat il y a presque 6 ans
- Copié vers Tâche #24223: Documenter le fait que les ipsets débutant par "local_" sont protégés de la suppression ajouté
#10 Mis à jour par Laurent HAEFFELE il y a presque 6 ans
Je viens de tester sur un Amon 2.5.2.
J'ai effectué un Maj-Auto -D. Cela a mis à jour les paquets suivants : eole-amon eole-amon-all eole-amon-module
Mais j'ai toujours l'erreur dans l'EAD2:
Erreur : erreur lors de la suppression du set d'ip local_link1
#11 Mis à jour par Fabrice Barconnière il y a presque 6 ans
- % réalisé changé de 0 à 80
Le paquet est disponible en candidate sur test-eole.ac-dijon.fr : eole-amon-backend 2.5.2-10
# Query-Auto -C -S test-eole.ac-dijon.fr # apt-eole install eole-amon-backend # reconfigure # Query-Auto
#12 Mis à jour par Laurent HAEFFELE il y a presque 6 ans
C'est validé sur mon Amon 2.5.2 de test.
Les ipsets nommés local_* ne sont plus touchés.
#13 Mis à jour par Gwenael Remond il y a presque 6 ans
- Statut changé de En cours à Résolu
#14 Mis à jour par Scrum Master il y a presque 6 ans
- Statut changé de Résolu à Fermé
#15 Mis à jour par Gwenael Remond il y a presque 6 ans
- Lié à Scénario #24284: Le comportement ipsets est à revoir sur EOLE 2.7 ajouté