Project

General

Profile

Tâche #27393

Scénario #27157: Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu

pyeole/diagnose/diagnose.py : compare_ipset :exclure les ipset "local_" du traitement.

Added by Fabrice Barconnière over 1 year ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Normal
Start date:
03/11/2019
Due date:
% Done:

100%

Estimated time:
3.00 h
Spent time:
Remaining (hours):
0.0

Description

Un ipset "local_" est destiné à un usage local comme son nom l'indique.
Il échappe à tout contrôle et ne doit donc pas être pris en compte lors du diagnose.


Related issues

Related to ERA - Scénario #24284: Le comportement ipsets est à revoir sur EOLE 2.7 Terminé (Sprint) 04/24/2018 07/13/2018

Associated revisions

Revision 5949975b (diff)
Added by Fabrice Barconnière over 1 year ago

ipset diagnose can fail with "local_" ipset

  • pyeole/diagnose/diagnose.py : exclude "local_" ipset to diagnose

ref #27393

History

#1 Updated by Scrum Master over 1 year ago

  • Status changed from Nouveau to En cours

#2 Updated by Fabrice Barconnière over 1 year ago

  • Subject changed from pyeole/diagnose/diagnose.py : compare_ipset : exclure les ipset "local_" du traitement. to pyeole/diagnose/diagnose.py : compare_ipset :exclure les ipset "local_" du traitement.
Pour reproduire :
  • Créer un ipset local :
    ipset create local_ipset1 bitmap:ip range 10.1.3.200-10.1.3.209
    
  • Ajouter des adresses IP à local_ipset1 :
    for i in $(seq 0 9); do ipset add local_ipset1 10.1.3.20$i; done
    
  • Mettre les ipset en cache :
    bastion regen
    
  • Supprimer une adresss IP de local_ipset1 :
    ipset del local_ipset1 10.1.3.205
    
  • Lancer diagnose
    • avant correction : . IPSet => Erreur
    • après correction : . IPSet => Ok

#3 Updated by Fabrice Barconnière over 1 year ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 3.0 to 0.5

Fait en 2.6.2, 2.7.0 et 2.7.1

#4 Updated by Scrum Master over 1 year ago

  • Status changed from En cours to Résolu

#5 Updated by Joël Cuissinat over 1 year ago

  • Status changed from Résolu to En cours

Ajout d'un test squash : AM-T02-30 - Gestion des ipset locaux

J'ai essayé en 2.6.2 et en 2.7.1, mais la commande bastion regen dégage les ipset "locaux" !

root@amon:~# ipset -L | grep  local_ipset1
Name: local_ipset1
root@amon:~# bastion regen 
                                                                                                                                                                                                            [ OK ]
 * Regénération des règles de pare-feu (modèle "4zones")                                                                                                                                                    [ OK ]
 * Mise en cache des règles de pare-feu                                                                                                                                                                     [ OK ] 
 * Restauration des règles de pare-feu en cache                                                                                                                                                             [ OK ] 
root@amon:~# ipset -L | grep  local_ipset1
root@amon:~#

#6 Updated by Joël Cuissinat over 1 year ago

  • Related to Scénario #24284: Le comportement ipsets est à revoir sur EOLE 2.7 added

#7 Updated by Fabrice Barconnière over 1 year ago

  • Status changed from En cours to Résolu

Pour moi, la demande d'origine est traitée.
Le diagnose ne traite pas les ipset "local_".

#8 Updated by Scrum Master over 1 year ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF