Project

General

Profile

Anomalie #2726

Accès à l'interface web de sympa d'un AmonEcole

Added by Joël Cuissinat almost 8 years ago. Updated over 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
01/16/2012
Due date:
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

Plusieurs problèmes :
  • 00_mail_sympa.fw : le nom de l'interface est en dur, il faudrait ajouter un paramètre à la fonction add_rules_sympa
  • Dans l'EAD, on nous propose adresse_ip_fichier_link ???
  • Redirection de port dans les modèles -> ouvrir une nouvelle demande (#3486)

Related issues

Related to ERA - Evolution #3486: Redirection des ports de sympa sur AmonEcole Fermé 05/21/2012
Related to eole-common - Anomalie #3488: En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration Fermé 05/21/2012
Related to eole-common - Anomalie #3490: Règles de firewall déclarées à l'envers + non prise en compte de l'interface des ip_admin_eth Fermé 05/21/2012

Associated revisions

Revision 13569a58 (diff)
Added by Joël Cuissinat over 7 years ago

  • 00_mail_sympa.fw : correction des règles de firewall d'accès à l'interface Sympa
    Fixes #2726 @10m

Revision f9b7cab3 (diff)
Added by Joël Cuissinat over 7 years ago

  • 00_mail_sympa.fw : remplacement des règles erronées (dest -> src)
    Fixes #2726 @10m
    Ref #3490

History

#1 Updated by Joël Cuissinat almost 8 years ago

%def add_rules_sympa(%%interface, %%ip_address, %%netmask_address)
allow_dest(interface='%%interface', ip='%%ip_address/%%netmask_address', port='8787')
allow_dest(interface='%%interface', ip='%%ip_address/%%netmask_address', port='8888')
%end def

%if %%admin_eth0 == 'oui'
%for %%ip_admin in %%ip_admin_eth0
%%add_rules_sympa('eth0', %%ip_admin, %%ip_admin.netmask_admin_eth0)
%end for
%end if

%if %%admin_eth1 == 'oui'
%for %%ip_admin in %%ip_admin_eth1
%%add_rules_sympa('eth1', %%ip_admin, %%ip_admin.netmask_admin_eth1)
%end for
%end if

[...]

#2 Updated by Joël Cuissinat over 7 years ago

  • Target version changed from Mises à jour 2.3.4 RC to Mises à jour 2.3.5 RC

#3 Updated by Joël Cuissinat over 7 years ago

  • Assigned To set to Emmanuel GARETTE

#4 Updated by Joël Cuissinat over 7 years ago

  • Project changed from conf-scribe to eole-sympa

#5 Updated by Joël Cuissinat over 7 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#6 Updated by Joël Cuissinat over 7 years ago

  • Description updated (diff)

#7 Updated by Joël Cuissinat over 7 years ago

  • % Done changed from 100 to 50

Hum, je viens de découvrir que les règles sont à l'envers (allow_dest au lieu de allow_src) !

Sauf que :
  • en mode non-conteneur (Scribe) un bug fait que ça marche ! => #3488
  • en mode conteneur + Era (AmonEcole), il faut forcément des règles Era => #3486
  • en mode conteneur sans Era (Scribe-conteneur) : non testé

#8 Updated by Joël Cuissinat over 7 years ago

  • % Done changed from 50 to 100

#9 Updated by Daniel Dehennin over 7 years ago

  • Assigned To changed from Emmanuel GARETTE to Daniel Dehennin

Pour qualification

#10 Updated by Daniel Dehennin over 7 years ago

  • Status changed from Résolu to Fermé

Sur un scribe conteneur:

root@scribe:~# iptables-save | grep ' 8787 '
-A PREROUTING -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 8787 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.51:8787 
-A FORWARD -s 192.168.100.0/24 -d 192.0.2.51/32 -i eth0 -p tcp -m tcp --dport 8787 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Also available in: Atom PDF