Projet

Général

Profil

Demande #28488

Amon 2.6.2 : Règle iptables qui se mélange au bout d'un moment

Ajouté par Laurent Couillaud il y a presque 5 ans. Mis à jour il y a plus de 4 ans.

Statut:
Ne sera pas résolu
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
-
Début:
05/06/2019
Echéance:
% réalisé:

0%


Description

Bonjour,
Je viens de migrer les serveurs Amon de lycées de notre académie et je constate le problème suivant :
Au fil du temps, les règles de IPTABLES se réécrive mais pas dans le bon ordre.
Ce qui à pour conséquence :
  • Impossibilité d'atteindre en SSH le Horus
  • Plus de surf internet sur le réseau administratif lors du problèmes d'accès SSH au serveur Horus.
  • Problème avec le controle VNC sur le réseau pédagogique.

J'ai fait une sauvegarde de l'iptables-save avant et après la commande CreoleService bastion restart
et lorsque l'on fait un vimdiff sur les fichiers, on constate que les lignes sont là mais pas dans le
même ordre.

Je ne sais pas si je suis le seul dans ce cas.
Temporairement, je viens de mettre en place un cron à 5h du mat pour relancer le bastion.

En pièce jointe, vous trouverez deux fichiers exemple quand j'ai l'erreur d'accès au

erreuraccèshorusssh.txt Voir - Le fichier iptables-save avec le problème (49,3 ko) Laurent Couillaud, 05/06/2019 07:01

erreuraccèshorussshaprèsservicebastionrestart.txt Voir - Le fichier iptables-save après le redémarrage de bastion. (50,4 ko) Laurent Couillaud, 05/06/2019 07:01

Historique

#1 Mis à jour par Daniel Dehennin il y a plus de 4 ans

  • Assigné à mis à Daniel Dehennin

Bonjour.

Je ne reproduis pas du tout ce comportement sur notre Amon 2.6.2 4zones.

Voici la différence que j’obtiens après avoir fait un reconfigure (sortie de référence) et ensuite un CreoleService bastion restart :

--- after-reconfigure.txt    2019-07-22 16:07:49.017851000 +0200
+++ after-bastion-restart.txt    2019-07-22 16:07:56.521851000 +0200
@@ -1,22 +1,22 @@
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *mangle
-:PREROUTING ACCEPT [747:61767]
-:INPUT ACCEPT [747:61767]
+:PREROUTING ACCEPT [18:1432]
+:INPUT ACCEPT [18:1432]
 :FORWARD ACCEPT [0:0]
-:OUTPUT ACCEPT [817:89135]
-:POSTROUTING ACCEPT [921:99955]
+:OUTPUT ACCEPT [16:1776]
+:POSTROUTING ACCEPT [16:1776]
 :marquage - [0:0]
 -A INPUT -j marquage
 -A FORWARD -j marquage
 -A OUTPUT -j marquage
 COMMIT
-# Completed on Mon Jul 22 16:07:48 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *nat
 :PREROUTING ACCEPT [0:0]
 :INPUT ACCEPT [0:0]
-:OUTPUT ACCEPT [92:6599]
-:POSTROUTING ACCEPT [92:6599]
+:OUTPUT ACCEPT [2:128]
+:POSTROUTING ACCEPT [2:128]
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-src src -j RETURN
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-dst dst -j RETURN
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j REDIRECT --to-ports 3128
@@ -57,12 +57,12 @@
 -A POSTROUTING -s 10.1.2.0/24 -o ens4 -j SNAT --to-source 192.168.0.31
 -A POSTROUTING -s 10.1.3.5/32 -o ens4 -j SNAT --to-source 192.168.0.31
 COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *filter
 :INPUT DROP [0:0]
 :FORWARD DROP [0:0]
-:OUTPUT ACCEPT [329:48103]
+:OUTPUT ACCEPT [9:1204]
 :adm-adm - [0:0]
 :adm-bas - [0:0]
 :adm-dmz - [0:0]
@@ -272,4 +272,4 @@
 -A ped-ext -s 10.1.2.0/24 -i ens6 -o ens4 -j ACCEPT
 -A ped-ext -i ens6 -o ens4 -j ACCEPT
 COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019

#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans

Il est possible que ce problème soit corrigé par les modifications 2.6.2 réalisées pour #24233.

#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Statut changé de Nouveau à Ne sera pas résolu

Formats disponibles : Atom PDF