Project

General

Profile

Anomalie #3488

En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration

Added by Joël Cuissinat over 7 years ago. Updated over 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
05/21/2012
Due date:
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

root@scribe:~# cat /usr/share/eole/firewall/00_root_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@scribe:~# iptables-save | grep 234
-A wide-root -p tcp -m state --state NEW -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A wide-root -p tcp -m state --state NEW -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

J'ai trouvé au moins deux fichiers où les règles étaient à l'envers 00_mail_sympa.fw et 00_root_ead.fw !

Related issues

Related to eole-sympa - Anomalie #2726: Accès à l'interface web de sympa d'un AmonEcole Fermé 01/16/2012
Related to eole-common - Anomalie #3490: Règles de firewall déclarées à l'envers + non prise en compte de l'interface des ip_admin_eth Fermé 05/21/2012

Associated revisions

Revision 546792b7 (diff)
Added by moyooo over 7 years ago

Error on Ticket Count by Status see #3488

Revision 6210922a (diff)
Added by Joël Cuissinat over 7 years ago

  • fwobjects.py : affichage d'un message pour les règles "root vers extrérieur"
    Fixes #3488 @20m

Revision 722ca51e (diff)
Added by Joël Cuissinat over 7 years ago

  • loader.py : message d'erreur déplacé ici car fwobjects.py indiquait de faux-positifs
  • fwobjects.py : mise à niveau de "_build_root_src_allow()" pour les allow_src en icmp
    Fixes #3488 @10m

Revision c1ba593f (diff)
Added by Joël Cuissinat over 7 years ago

  • fwobjects.py : autorisation de "allow_src" pour le protocol "esp"
    Ref #3488 @10m
    Ref #3567

History

#1 Updated by Joël Cuissinat over 7 years ago

  • Target version changed from Mises à jour 2.3.5 RC to Mises à jour 2.3.6 RC

#2 Updated by Joël Cuissinat over 7 years ago

Exemple équivalant avec un conteneur et en mode conteneur :

root@seshat:~# cat /usr/share/eole/firewall/00_mail_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@seshat:~# iptables-save | grep 234
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.13:2345
-A FORWARD -s 192.0.2.13/32 -i br0 -o eth0 -p tcp -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -d 192.0.2.13/32 -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#3 Updated by Joël Cuissinat over 7 years ago

  • Status changed from Nouveau to Accepté
  • Target version changed from Mises à jour 2.3.6 RC to Mises à jour 2.3.5 RC

#4 Updated by Joël Cuissinat over 7 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#5 Updated by Joël Cuissinat over 7 years ago

En réalité le problème concerne les règles "de root vers l'extérieur" qui n'ont aucun intérêt puisque tout est déjà ouvert dans ce sens !

L'affichage du message permet de mettre en valeur des règles qui ont été déclarées à l'envers :)

#7 Updated by Fabrice Barconnière over 7 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF