Anomalie #3488
En mode non conteneur certaines règles sont générées dans un sens indépendant de leur déclaration
Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Distribution:
EOLE 2.3
Description
root@scribe:~# cat /usr/share/eole/firewall/00_root_test.fw allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234') allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345') root@scribe:~# iptables-save | grep 234 -A wide-root -p tcp -m state --state NEW -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A wide-root -p tcp -m state --state NEW -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
J'ai trouvé au moins deux fichiers où les règles étaient à l'envers 00_mail_sympa.fw et 00_root_ead.fw !
Demandes liées
Révisions associées
Error on Ticket Count by Status see #3488
- fwobjects.py : affichage d'un message pour les règles "root vers extrérieur"
Fixes #3488 @20m
- loader.py : message d'erreur déplacé ici car fwobjects.py indiquait de faux-positifs
- fwobjects.py : mise à niveau de "_build_root_src_allow()" pour les allow_src en icmp
Fixes #3488 @10m
Historique
#1 Mis à jour par Joël Cuissinat il y a presque 12 ans
- Version cible changé de Mises à jour 2.3.5 RC à Mises à jour 2.3.6 RC
#2 Mis à jour par Joël Cuissinat il y a presque 12 ans
Exemple équivalant avec un conteneur et en mode conteneur :
root@seshat:~# cat /usr/share/eole/firewall/00_mail_test.fw allow_dest(interface='eth0', ip='0.0.0.0/0.0.0.0', port='1234') allow_src(interface='eth0', ip='0.0.0.0/0.0.0.0', port='2345') root@seshat:~# iptables-save | grep 234 -A PREROUTING -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.13:2345 -A FORWARD -s 192.0.2.13/32 -i br0 -o eth0 -p tcp -m tcp --dport 1234 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A FORWARD -d 192.0.2.13/32 -i eth0 -p tcp -m tcp --dport 2345 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
#3 Mis à jour par Joël Cuissinat il y a presque 12 ans
- Statut changé de Nouveau à Accepté
- Version cible changé de Mises à jour 2.3.6 RC à Mises à jour 2.3.5 RC
#4 Mis à jour par Joël Cuissinat il y a presque 12 ans
- Statut changé de Accepté à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 6210922ae9311202fccb1dde7bf1c299153e0883.
#5 Mis à jour par Joël Cuissinat il y a presque 12 ans
En réalité le problème concerne les règles "de root vers l'extérieur" qui n'ont aucun intérêt puisque tout est déjà ouvert dans ce sens !
L'affichage du message permet de mettre en valeur des règles qui ont été déclarées à l'envers :)
#6 Mis à jour par Joël Cuissinat il y a presque 12 ans
Appliqué par commit 722ca51e353fc3f5f1b9dede5245030d3b23ba51.
#7 Mis à jour par Fabrice Barconnière il y a presque 12 ans
- Statut changé de Résolu à Fermé