Projet

Général

Profil

Anomalie #2726

Accès à l'interface web de sympa d'un AmonEcole

Ajouté par Joël Cuissinat il y a plus de 12 ans. Mis à jour il y a presque 12 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Daniel Dehennin
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.5 RC
Début:
16/01/2012
Echéance:
% réalisé:

100%

Temps passé:
0.75 h
Distribution:
EOLE 2.3

Description

Plusieurs problèmes :
  • 00_mail_sympa.fw : le nom de l'interface est en dur, il faudrait ajouter un paramètre à la fonction add_rules_sympa
  • Dans l'EAD, on nous propose adresse_ip_fichier_link ???
  • Redirection de port dans les modèles -> ouvrir une nouvelle demande (#3486)

Demandes liées

Lié à ERA - Evolution #3486: Redirection des ports de sympa sur AmonEcole Fermé 21/05/2012
Lié à eole-common - Anomalie #3488: En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration Fermé 21/05/2012
Lié à eole-common - Anomalie #3490: Règles de firewall déclarées à l'envers + non prise en compte de l'interface des ip_admin_eth Fermé 21/05/2012

Révisions associées

Révision 13569a58 (diff)
Ajouté par Joël Cuissinat il y a presque 12 ans

  • 00_mail_sympa.fw : correction des règles de firewall d'accès à l'interface Sympa
    Fixes #2726 @10m

Révision f9b7cab3 (diff)
Ajouté par Joël Cuissinat il y a presque 12 ans

  • 00_mail_sympa.fw : remplacement des règles erronées (dest -> src)
    Fixes #2726 @10m
    Ref #3490

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 12 ans 

%def add_rules_sympa(%%interface, %%ip_address, %%netmask_address)
allow_dest(interface='%%interface', ip='%%ip_address/%%netmask_address', port='8787')
allow_dest(interface='%%interface', ip='%%ip_address/%%netmask_address', port='8888')
%end def

%if %%admin_eth0 == 'oui'
%for %%ip_admin in %%ip_admin_eth0
%%add_rules_sympa('eth0', %%ip_admin, %%ip_admin.netmask_admin_eth0)
%end for
%end if

%if %%admin_eth1 == 'oui'
%for %%ip_admin in %%ip_admin_eth1
%%add_rules_sympa('eth1', %%ip_admin, %%ip_admin.netmask_admin_eth1)
%end for
%end if

[...]

#2 Mis à jour par Joël Cuissinat il y a environ 12 ans

  • Version cible changé de Mises à jour 2.3.4 RC à Mises à jour 2.3.5 RC

#3 Mis à jour par Joël Cuissinat il y a environ 12 ans

  • Assigné à mis à Emmanuel GARETTE

#4 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Projet changé de conf-scribe à eole-sympa

#5 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#6 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Description mis à jour (diff)

#7 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • % réalisé changé de 100 à 50

Hum, je viens de découvrir que les règles sont à l'envers (allow_dest au lieu de allow_src) !

Sauf que :
  • en mode non-conteneur (Scribe) un bug fait que ça marche ! => #3488
  • en mode conteneur + Era (AmonEcole), il faut forcément des règles Era => #3486
  • en mode conteneur sans Era (Scribe-conteneur) : non testé

#8 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • % réalisé changé de 50 à 100

#9 Mis à jour par Daniel Dehennin il y a presque 12 ans

  • Assigné à changé de Emmanuel GARETTE à Daniel Dehennin

Pour qualification

#10 Mis à jour par Daniel Dehennin il y a presque 12 ans

  • Statut changé de Résolu à Fermé

Sur un scribe conteneur:

root@scribe:~# iptables-save | grep ' 8787 '
-A PREROUTING -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 8787 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.51:8787 
-A FORWARD -s 192.168.100.0/24 -d 192.0.2.51/32 -i eth0 -p tcp -m tcp --dport 8787 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Formats disponibles : Atom PDF