Project

General

Profile

Demande #28488

Amon 2.6.2 : Règle iptables qui se mélange au bout d'un moment

Added by Laurent Couillaud over 2 years ago. Updated almost 2 years ago.

Status:
Ne sera pas résolu
Priority:
Normal
Assigned To:
Category:
-
Target version:
-
Start date:
06/05/2019
Due date:
% Done:

0%


Description

Bonjour,
Je viens de migrer les serveurs Amon de lycées de notre académie et je constate le problème suivant :
Au fil du temps, les règles de IPTABLES se réécrive mais pas dans le bon ordre.
Ce qui à pour conséquence :
  • Impossibilité d'atteindre en SSH le Horus
  • Plus de surf internet sur le réseau administratif lors du problèmes d'accès SSH au serveur Horus.
  • Problème avec le controle VNC sur le réseau pédagogique.

J'ai fait une sauvegarde de l'iptables-save avant et après la commande CreoleService bastion restart
et lorsque l'on fait un vimdiff sur les fichiers, on constate que les lignes sont là mais pas dans le
même ordre.

Je ne sais pas si je suis le seul dans ce cas.
Temporairement, je viens de mettre en place un cron à 5h du mat pour relancer le bastion.

En pièce jointe, vous trouverez deux fichiers exemple quand j'ai l'erreur d'accès au

erreuraccèshorusssh.txt View - Le fichier iptables-save avec le problème (49.3 KB) Laurent Couillaud, 06/05/2019 07:01 AM

erreuraccèshorussshaprèsservicebastionrestart.txt View - Le fichier iptables-save après le redémarrage de bastion. (50.4 KB) Laurent Couillaud, 06/05/2019 07:01 AM

History

#1 Updated by Daniel Dehennin about 2 years ago

  • Assigned To set to Daniel Dehennin

Bonjour.

Je ne reproduis pas du tout ce comportement sur notre Amon 2.6.2 4zones.

Voici la différence que j’obtiens après avoir fait un reconfigure (sortie de référence) et ensuite un CreoleService bastion restart :

--- after-reconfigure.txt    2019-07-22 16:07:49.017851000 +0200
+++ after-bastion-restart.txt    2019-07-22 16:07:56.521851000 +0200
@@ -1,22 +1,22 @@
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *mangle
-:PREROUTING ACCEPT [747:61767]
-:INPUT ACCEPT [747:61767]
+:PREROUTING ACCEPT [18:1432]
+:INPUT ACCEPT [18:1432]
 :FORWARD ACCEPT [0:0]
-:OUTPUT ACCEPT [817:89135]
-:POSTROUTING ACCEPT [921:99955]
+:OUTPUT ACCEPT [16:1776]
+:POSTROUTING ACCEPT [16:1776]
 :marquage - [0:0]
 -A INPUT -j marquage
 -A FORWARD -j marquage
 -A OUTPUT -j marquage
 COMMIT
-# Completed on Mon Jul 22 16:07:48 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:48 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *nat
 :PREROUTING ACCEPT [0:0]
 :INPUT ACCEPT [0:0]
-:OUTPUT ACCEPT [92:6599]
-:POSTROUTING ACCEPT [92:6599]
+:OUTPUT ACCEPT [2:128]
+:POSTROUTING ACCEPT [2:128]
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-src src -j RETURN
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -m set --match-set bastion-adm-ext-5-dst dst -j RETURN
 -A PREROUTING -i ens5 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j REDIRECT --to-ports 3128
@@ -57,12 +57,12 @@
 -A POSTROUTING -s 10.1.2.0/24 -o ens4 -j SNAT --to-source 192.168.0.31
 -A POSTROUTING -s 10.1.3.5/32 -o ens4 -j SNAT --to-source 192.168.0.31
 COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
-# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019
+# Generated by iptables-save v1.6.0 on Mon Jul 22 16:07:56 2019
 *filter
 :INPUT DROP [0:0]
 :FORWARD DROP [0:0]
-:OUTPUT ACCEPT [329:48103]
+:OUTPUT ACCEPT [9:1204]
 :adm-adm - [0:0]
 :adm-bas - [0:0]
 :adm-dmz - [0:0]
@@ -272,4 +272,4 @@
 -A ped-ext -s 10.1.2.0/24 -i ens6 -o ens4 -j ACCEPT
 -A ped-ext -i ens6 -o ens4 -j ACCEPT
 COMMIT
-# Completed on Mon Jul 22 16:07:49 2019
+# Completed on Mon Jul 22 16:07:56 2019

#2 Updated by Joël Cuissinat about 2 years ago

Il est possible que ce problème soit corrigé par les modifications 2.6.2 réalisées pour #24233.

#3 Updated by Joël Cuissinat almost 2 years ago

  • Status changed from Nouveau to Ne sera pas résolu

Also available in: Atom PDF