Projet

Général

Profil

Anomalie #3488

En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration

Ajouté par Joël Cuissinat il y a presque 12 ans. Mis à jour il y a presque 12 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
-
Début:
21/05/2012
Echéance:
% réalisé:

100%

Temps passé:
Distribution:
EOLE 2.3

Description

root@scribe:~# cat /usr/share/eole/firewall/00_root_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@scribe:~# iptables-save | grep 234
-A wide-root -p tcp -m state --state NEW -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A wide-root -p tcp -m state --state NEW -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

J'ai trouvé au moins deux fichiers où les règles étaient à l'envers 00_mail_sympa.fw et 00_root_ead.fw !

Demandes liées

Lié à eole-sympa - Anomalie #2726: Accès à l'interface web de sympa d'un AmonEcole Fermé 16/01/2012
Lié à eole-common - Anomalie #3490: Règles de firewall déclarées à l'envers + non prise en compte de l'interface des ip_admin_eth Fermé 21/05/2012

Révisions associées

Révision 546792b7 (diff)
Ajouté par moyooo il y a presque 12 ans

Error on Ticket Count by Status see #3488

Révision 6210922a (diff)
Ajouté par Joël Cuissinat il y a presque 12 ans

  • fwobjects.py : affichage d'un message pour les règles "root vers extrérieur"
    Fixes #3488 @20m

Révision 722ca51e (diff)
Ajouté par Joël Cuissinat il y a presque 12 ans

  • loader.py : message d'erreur déplacé ici car fwobjects.py indiquait de faux-positifs
  • fwobjects.py : mise à niveau de "_build_root_src_allow()" pour les allow_src en icmp
    Fixes #3488 @10m

Révision c1ba593f (diff)
Ajouté par Joël Cuissinat il y a presque 12 ans

  • fwobjects.py : autorisation de "allow_src" pour le protocol "esp"
    Ref #3488 @10m
    Ref #3567

Historique

#1 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Version cible changé de Mises à jour 2.3.5 RC à Mises à jour 2.3.6 RC

#2 Mis à jour par Joël Cuissinat il y a presque 12 ans

Exemple équivalant avec un conteneur et en mode conteneur :

root@seshat:~# cat /usr/share/eole/firewall/00_mail_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@seshat:~# iptables-save | grep 234
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.13:2345
-A FORWARD -s 192.0.2.13/32 -i br0 -o eth0 -p tcp -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -d 192.0.2.13/32 -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#3 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Statut changé de Nouveau à Accepté
  • Version cible changé de Mises à jour 2.3.6 RC à Mises à jour 2.3.5 RC

#4 Mis à jour par Joël Cuissinat il y a presque 12 ans

  • Statut changé de Accepté à Résolu
  • % réalisé changé de 0 à 100

#5 Mis à jour par Joël Cuissinat il y a presque 12 ans

En réalité le problème concerne les règles "de root vers l'extérieur" qui n'ont aucun intérêt puisque tout est déjà ouvert dans ce sens !

L'affichage du message permet de mettre en valeur des règles qui ont été déclarées à l'envers :)

#6 Mis à jour par Joël Cuissinat il y a presque 12 ans

#7 Mis à jour par Fabrice Barconnière il y a presque 12 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF