Scénario #27157
Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu
100%
Description
Le script /usr/share/eole/diagnose/04-zfirewall retourne une erreur lorsqu'on utilise un ipset préfixé par local_. Ils ne devraient pas être vérifiés car ce type d'ipset n'est pas forcément lié au pare-feu ...
root@amon:~# ipset --save create group-web_services bitmap:port range 0-65000 add group-web_services 3128 create local_ipt_go_microsoft_com hash:ip family inet hashsize 1024 maxelem 512 timeout 1800 add local_ipt_go_microsoft_com 23.217.250.58 timeout 666 add local_ipt_go_microsoft_com 104.103.90.39 timeout 366 add local_ipt_go_microsoft_com 104.96.141.191 timeout 1567 add local_ipt_go_microsoft_com 104.109.80.115 timeout 1266 root@amon:~# /usr/share/eole/diagnose/04-zfirewall *** Pare-feu . Génération des règles => Ok (16:44:27 08/03/19) . Pare-feu => Ok . IPSet => Erreur
Sous-tâches
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Tracker changé de Demande à Scénario
- Description mis à jour (diff)
- Echéance mis à 12/04/2019
- Version cible mis à sprint 2019 13-15 Equipe MENSR
- Release mis à EOLE 2.6.2.1
- Points de scénarios mis à 1.0
#2 Mis à jour par Fabrice Barconnière il y a environ 5 ans
- Assigné à mis à Fabrice Barconnière
#3 Mis à jour par Fabrice Barconnière il y a environ 5 ans
Par quel moyen as-tu créé l'ipset "local_ipt_go_microsoft_com" ?
De mon côté, j'ai créé un groupe de machine dans l'EAD - Filtre web 1 : local_ipset1
Le diagnose ne renvoie pas d'erreur.
root@amon:~# ipset save .... .... create web_services bitmap:port range 0-65000 add web_services 3128 create local_ipset1 bitmap:ip range 10.1.2.200-10.1.2.210 add local_ipset1 10.1.2.200 add local_ipset1 10.1.2.201 add local_ipset1 10.1.2.202 add local_ipset1 10.1.2.203 add local_ipset1 10.1.2.204 add local_ipset1 10.1.2.205 add local_ipset1 10.1.2.206 add local_ipset1 10.1.2.207 add local_ipset1 10.1.2.208 add local_ipset1 10.1.2.209 add local_ipset1 10.1.2.210 root@amon:~# cat /etc/eole/ipset .... .... create web_services bitmap:port range 0-65000 add web_services 3128
La code du diagnose if cache_iptables - new_iptables != set([])
qui compare les 2 sorties renvoie bien un set vide, et donc OK.
#4 Mis à jour par Laurent HAEFFELE il y a environ 5 ans
L'ipset a été créé directement en ligne de commande.
L'idée, c'est de créer des ipset pour autoriser des connexions vers des FQDN, pas des adresses IP.
Toutes les 5 minutes, j'effectue une requête DNS et j'ajoute le résultat dans l'ipset.
Exemple :
ipset -q create local_ipt_go_microsoft_com hash:ip family inet timeout 1800 maxelem 512
ipset add local_ipt_go_microsoft_com 23.217.250.58 timeout 1785
#5 Mis à jour par Fabrice Barconnière il y a environ 5 ans
OK, je pense avoir compris.
Tes ipset "local_" sont donc actualisés toutes les 5mn (ajout ET suppression d'IP ?).
Si entre les 2 temps, "bastion regen" (reconstruction du cache /etc/eole/ipset) est lancé et que une adresse IP n'est plus dans le l'ipset, le diagnose tombe en erreur.
Si c'est juste un ajout, le diagnose n'est pas en erreur.
C'est à partir d'EOLE 2.6.2 ?
#6 Mis à jour par Laurent HAEFFELE il y a environ 5 ans
C'est à partir d'EOLE 2.7.0.
Attention, comme ce sont des ipset avec timeout, ils "vivent" (suppression automatique des entrées trop anciennes) et la valeur du timeout change à chaque seconde ...
#7 Mis à jour par Scrum Master il y a environ 5 ans
- Statut changé de Nouveau à Terminé (Sprint)
#8 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Sujet changé de Ne pas vérifier les ipsec local_ dans diagnose / section Pare-feu à Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu