Scénario #27157
Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu
100%
Description
Le script /usr/share/eole/diagnose/04-zfirewall retourne une erreur lorsqu'on utilise un ipset préfixé par local_. Ils ne devraient pas être vérifiés car ce type d'ipset n'est pas forcément lié au pare-feu ...
root@amon:~# ipset --save create group-web_services bitmap:port range 0-65000 add group-web_services 3128 create local_ipt_go_microsoft_com hash:ip family inet hashsize 1024 maxelem 512 timeout 1800 add local_ipt_go_microsoft_com 23.217.250.58 timeout 666 add local_ipt_go_microsoft_com 104.103.90.39 timeout 366 add local_ipt_go_microsoft_com 104.96.141.191 timeout 1567 add local_ipt_go_microsoft_com 104.109.80.115 timeout 1266 root@amon:~# /usr/share/eole/diagnose/04-zfirewall *** Pare-feu . Génération des règles => Ok (16:44:27 08/03/19) . Pare-feu => Ok . IPSet => Erreur
Subtasks
History
#1 Updated by Joël Cuissinat over 4 years ago
- Tracker changed from Demande to Scénario
- Description updated (diff)
- Due date set to 04/12/2019
- Target version set to sprint 2019 13-15 Equipe MENSR
- Release set to EOLE 2.6.2.1
- Story points set to 1.0
#2 Updated by Fabrice Barconnière over 4 years ago
- Assigned To set to Fabrice Barconnière
#3 Updated by Fabrice Barconnière over 4 years ago
Par quel moyen as-tu créé l'ipset "local_ipt_go_microsoft_com" ?
De mon côté, j'ai créé un groupe de machine dans l'EAD - Filtre web 1 : local_ipset1
Le diagnose ne renvoie pas d'erreur.
root@amon:~# ipset save .... .... create web_services bitmap:port range 0-65000 add web_services 3128 create local_ipset1 bitmap:ip range 10.1.2.200-10.1.2.210 add local_ipset1 10.1.2.200 add local_ipset1 10.1.2.201 add local_ipset1 10.1.2.202 add local_ipset1 10.1.2.203 add local_ipset1 10.1.2.204 add local_ipset1 10.1.2.205 add local_ipset1 10.1.2.206 add local_ipset1 10.1.2.207 add local_ipset1 10.1.2.208 add local_ipset1 10.1.2.209 add local_ipset1 10.1.2.210 root@amon:~# cat /etc/eole/ipset .... .... create web_services bitmap:port range 0-65000 add web_services 3128
La code du diagnose if cache_iptables - new_iptables != set([]) qui compare les 2 sorties renvoie bien un set vide, et donc OK.
#4 Updated by Laurent HAEFFELE over 4 years ago
L'ipset a été créé directement en ligne de commande.
L'idée, c'est de créer des ipset pour autoriser des connexions vers des FQDN, pas des adresses IP.
Toutes les 5 minutes, j'effectue une requête DNS et j'ajoute le résultat dans l'ipset.
Exemple :
ipset -q create local_ipt_go_microsoft_com hash:ip family inet timeout 1800 maxelem 512
ipset add local_ipt_go_microsoft_com 23.217.250.58 timeout 1785
#5 Updated by Fabrice Barconnière over 4 years ago
OK, je pense avoir compris.
Tes ipset "local_" sont donc actualisés toutes les 5mn (ajout ET suppression d'IP ?).
Si entre les 2 temps, "bastion regen" (reconstruction du cache /etc/eole/ipset) est lancé et que une adresse IP n'est plus dans le l'ipset, le diagnose tombe en erreur.
Si c'est juste un ajout, le diagnose n'est pas en erreur.
C'est à partir d'EOLE 2.6.2 ?
#6 Updated by Laurent HAEFFELE over 4 years ago
C'est à partir d'EOLE 2.7.0.
Attention, comme ce sont des ipset avec timeout, ils "vivent" (suppression automatique des entrées trop anciennes) et la valeur du timeout change à chaque seconde ...
#7 Updated by Scrum Master over 4 years ago
- Status changed from Nouveau to Terminé (Sprint)
#8 Updated by Joël Cuissinat over 4 years ago
- Subject changed from Ne pas vérifier les ipsec local_ dans diagnose / section Pare-feu to Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu