Project

General

Profile

Anomalie #3488

En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration

Added by Joël Cuissinat over 10 years ago. Updated over 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
05/21/2012
Due date:
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

root@scribe:~# cat /usr/share/eole/firewall/00_root_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@scribe:~# iptables-save | grep 234
-A wide-root -p tcp -m state --state NEW -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A wide-root -p tcp -m state --state NEW -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

J'ai trouvé au moins deux fichiers où les règles étaient à l'envers 00_mail_sympa.fw et 00_root_ead.fw !

Related issues

Related to eole-sympa - Anomalie #2726: Accès à l'interface web de sympa d'un AmonEcole Fermé 01/16/2012
Related to eole-common - Anomalie #3490: Règles de firewall déclarées à l'envers + non prise en compte de l'interface des ip_admin_eth Fermé 05/21/2012

Associated revisions

Revision 546792b7 (diff)
Added by moyooo over 10 years ago

Error on Ticket Count by Status see #3488

Revision 6210922a (diff)
Added by Joël Cuissinat over 10 years ago

  • fwobjects.py : affichage d'un message pour les règles "root vers extrérieur"
    Fixes #3488 @20m

Revision 722ca51e (diff)
Added by Joël Cuissinat over 10 years ago

  • loader.py : message d'erreur déplacé ici car fwobjects.py indiquait de faux-positifs
  • fwobjects.py : mise à niveau de "_build_root_src_allow()" pour les allow_src en icmp
    Fixes #3488 @10m

Revision c1ba593f (diff)
Added by Joël Cuissinat over 10 years ago

  • fwobjects.py : autorisation de "allow_src" pour le protocol "esp"
    Ref #3488 @10m
    Ref #3567

History

#1 Updated by Joël Cuissinat over 10 years ago

  • Target version changed from Mises à jour 2.3.5 RC to Mises à jour 2.3.6 RC

#2 Updated by Joël Cuissinat over 10 years ago

Exemple équivalant avec un conteneur et en mode conteneur :

root@seshat:~# cat /usr/share/eole/firewall/00_mail_test.fw
allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234')
allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345')
root@seshat:~# iptables-save | grep 234
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.13:2345
-A FORWARD -s 192.0.2.13/32 -i br0 -o eth0 -p tcp -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -d 192.0.2.13/32 -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#3 Updated by Joël Cuissinat over 10 years ago

  • Status changed from Nouveau to Accepté
  • Target version changed from Mises à jour 2.3.6 RC to Mises à jour 2.3.5 RC

#4 Updated by Joël Cuissinat over 10 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#5 Updated by Joël Cuissinat over 10 years ago

En réalité le problème concerne les règles "de root vers l'extérieur" qui n'ont aucun intérêt puisque tout est déjà ouvert dans ce sens !

L'affichage du message permet de mettre en valeur des règles qui ont été déclarées à l'envers :)

#7 Updated by Fabrice Barconnière over 10 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF