Demande #28488
Amon 2.6.2 : Règle iptables qui se mélange au bout d'un moment
0%
Description
Je viens de migrer les serveurs Amon de lycées de notre académie et je constate le problème suivant :
Au fil du temps, les règles de IPTABLES se réécrive mais pas dans le bon ordre.
Ce qui à pour conséquence :
- Impossibilité d'atteindre en SSH le Horus
- Plus de surf internet sur le réseau administratif lors du problèmes d'accès SSH au serveur Horus.
- Problème avec le controle VNC sur le réseau pédagogique.
J'ai fait une sauvegarde de l'iptables-save avant et après la commande CreoleService bastion restart
et lorsque l'on fait un vimdiff sur les fichiers, on constate que les lignes sont là mais pas dans le
même ordre.
Je ne sais pas si je suis le seul dans ce cas.
Temporairement, je viens de mettre en place un cron à 5h du mat pour relancer le bastion.
En pièce jointe, vous trouverez deux fichiers exemple quand j'ai l'erreur d'accès au
Historique
#1 Mis à jour par Daniel Dehennin il y a plus de 4 ans
- Assigné à mis à Daniel Dehennin
Bonjour.
Je ne reproduis pas du tout ce comportement sur notre Amon 2.6.2 4zones.
Voici la différence que j’obtiens après avoir fait un reconfigure (sortie de référence) et ensuite un CreoleService bastion restart
:
--- after-reconfigure.txt 2019-07-22 16:07:49.017851000 +0200
+++ after-bastion-restart.txt 2019-07-22 16:07:56.521851000 +0200
@@ -1,22 +1,22 @@
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
*mangle
-:PREROUTING ACCEPT [747:61767]
-:INPUT ACCEPT [747:61767]
+:PREROUTING ACCEPT [18:1432]
+:INPUT ACCEPT [18:1432]
:FORWARD ACCEPT [0:0]
-:OUTPUT ACCEPT [817:89135]
-:POSTROUTING ACCEPT [921:99955]
+:OUTPUT ACCEPT [16:1776]
+:POSTROUTING ACCEPT [16:1776]
:marquage - [0:0]
-A INPUT -j marquage
-A FORWARD -j marquage
-A OUTPUT -j marquage
COMMIT
-# Completed on Mon Jul 22 16:07:48 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
-:OUTPUT ACCEPT [92:6599]
-:POSTROUTING ACCEPT [92:6599]
+:OUTPUT ACCEPT [2:128]
+:POSTROUTING ACCEPT [2:128]
-A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-src src -j RETURN
-A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-dst dst -j RETURN
-A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j REDIRECT --to-ports 3128
@@ -57,12 +57,12 @@
-A POSTROUTING -s 10.1.2.0/24 -o ens4 -j SNAT --to-source 192.168.0.31
-A POSTROUTING -s 10.1.3.5/32 -o ens4 -j SNAT --to-source 192.168.0.31
COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
-:OUTPUT ACCEPT [329:48103]
+:OUTPUT ACCEPT [9:1204]
:adm-adm - [0:0]
:adm-bas - [0:0]
:adm-dmz - [0:0]
@@ -272,4 +272,4 @@
-A ped-ext -s 10.1.2.0/24 -i ens6 -o ens4 -j ACCEPT
-A ped-ext -i ens6 -o ens4 -j ACCEPT
COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019
#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans
Il est possible que ce problème soit corrigé par les modifications 2.6.2 réalisées pour #24233.
#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de Nouveau à Ne sera pas résolu