Projet

Général

Profil

Tâche #27393

Scénario #27157: Ne pas vérifier les ipset local_ dans diagnose / section Pare-feu

pyeole/diagnose/diagnose.py : compare_ipset :exclure les ipset "local_" du traitement.

Ajouté par Fabrice Barconnière il y a environ 5 ans. Mis à jour il y a environ 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
Distribution EOLE - sprint 2019 13-15 Equipe MENSR
Début:
11/03/2019
Echéance:
% réalisé:

100%

Temps estimé:
3.00 h
Temps passé:
3.00 h
Restant à faire (heures):
0.0

Description

Un ipset "local_" est destiné à un usage local comme son nom l'indique.
Il échappe à tout contrôle et ne doit donc pas être pris en compte lors du diagnose.

Demandes liées

Lié à ERA - Scénario #24284: Le comportement ipsets est à revoir sur EOLE 2.7 Terminé (Sprint) 24/04/2018 13/07/2018

Révisions associées

Révision 5949975b (diff)
Ajouté par Fabrice Barconnière il y a environ 5 ans

ipset diagnose can fail with "local_" ipset

  • pyeole/diagnose/diagnose.py : exclude "local_" ipset to diagnose

ref #27393

Historique

#1 Mis à jour par Scrum Master il y a environ 5 ans

  • Statut changé de Nouveau à En cours

#2 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • Sujet changé de pyeole/diagnose/diagnose.py : compare_ipset : exclure les ipset "local_" du traitement. à pyeole/diagnose/diagnose.py : compare_ipset :exclure les ipset "local_" du traitement.
Pour reproduire :
  • Créer un ipset local :
    ipset create local_ipset1 bitmap:ip range 10.1.3.200-10.1.3.209
  • Ajouter des adresses IP à local_ipset1 : 
    for i in $(seq 0 9); do ipset add local_ipset1 10.1.3.20$i; done
  • Mettre les ipset en cache :
    bastion regen
  • Supprimer une adresss IP de local_ipset1 :
    ipset del local_ipset1 10.1.3.205
  • Lancer diagnose
    • avant correction : . IPSet => Erreur
    • après correction : . IPSet => Ok

#3 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 3.0 à 0.5

Fait en 2.6.2, 2.7.0 et 2.7.1

#4 Mis à jour par Scrum Master il y a environ 5 ans

  • Statut changé de En cours à Résolu

#5 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Statut changé de Résolu à En cours

Ajout d'un test squash : AM-T02-30 - Gestion des ipset locaux

J'ai essayé en 2.6.2 et en 2.7.1, mais la commande bastion regen dégage les ipset "locaux" !

root@amon:~# ipset -L | grep  local_ipset1
Name: local_ipset1
root@amon:~# bastion regen 
                                                                                                                                                                                                            [ OK ]
 * Regénération des règles de pare-feu (modèle "4zones")                                                                                                                                                    [ OK ]
 * Mise en cache des règles de pare-feu                                                                                                                                                                     [ OK ] 
 * Restauration des règles de pare-feu en cache                                                                                                                                                             [ OK ] 
root@amon:~# ipset -L | grep  local_ipset1
root@amon:~#

#6 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Lié à Scénario #24284: Le comportement ipsets est à revoir sur EOLE 2.7 ajouté

#7 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • Statut changé de En cours à Résolu

Pour moi, la demande d'origine est traitée.
Le diagnose ne traite pas les ipset "local_".

#8 Mis à jour par Scrum Master il y a environ 5 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.5 à 0.0

Formats disponibles : Atom PDF