Evolution #3574: [bastion] devrait afficher un "warning" en cas de masque de sous-réseau invalide - eole-common - Ensemble Ouvert Libre Évolutif

Evolution #3574

[bastion] devrait afficher un "warning" en cas de masque de sous-réseau invalide

Ajouté par Joël Cuissinat il y a presque 12 ans. Mis à jour il y a plus de 11 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Joël Cuissinat

Catégorie:

Version cible:

Distribution EOLE - Mises à jour 2.3.7 RC

Début:

05/06/2012

Echéance:

% réalisé:

100%

Temps estimé:

0.50 h

Temps passé:

0.92 h

Distribution:

EOLE 2.3

Description

J'ai pu mettre :

root@eoleng:~# cat /usr/share/eole/firewall/00_root_nut.fw
allow_src(interface='eth0', ip='1.1.1.2/1.1.1.0', port='3493', tcpwrapper="upsd")
root@eoleng:~# iptables-save | grep 3493
-A PREROUTING -s 1.1.1.0/1.1.1.0 -i eth0 -p tcp -m tcp --dport 3493 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 127.0.0.1:3493
-A FORWARD -s 1.1.1.0/1.1.1.0 -d 127.0.0.1/32 -i eth0 -p tcp -m tcp --dport 3493 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Alors que je voulais :

root@sphynx:~# cat /usr/share/eole/firewall/00_root_nut.fw
allow_src(interface='eth0', ip='1.1.1.2/255.255.255.0', port='3493', tcpwrapper="upsd")
root@sphynx:~# iptables-save | grep 3493
-A PREROUTING -s 1.1.1.0/24 -i eth0 -p tcp -m tcp --dport 3493 --tcp-flags FIN,SYN,RST,ACK SYN -j DNAT --to-destination 127.0.0.1:3493
-A FORWARD -s 1.1.1.0/24 -d 127.0.0.1/32 -i eth0 -p tcp -m tcp --dport 3493 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Révisions associées

Révision 56276a3e (diff)
Ajouté par Joël Cuissinat il y a plus de 11 ans

loader.py : amélioration de la gestion des erreurs

Fixes #3574 @45m

Historique

#1 Mis à jour par Emmanuel GARETTE il y a presque 12 ans

En complément, j'utilise IPy pour valider, mais visiblement il n'a pas le comportement voulu dans ce cas.

#2 Mis à jour par Joël Cuissinat il y a plus de 11 ans

Version cible changé de Mises à jour 2.3.6 RC à Mises à jour 2.3.7 RC

#3 Mis à jour par Benjamin Bohard il y a plus de 11 ans

Statut changé de Nouveau à En attente d'informations

Test effectué hors contexte dans un shell python :

>>> import IPy
>>> ip = IPy.IP('1.1.1.0/1.1.1.0')
ValueError: Netmask 0x1010100L can't be expressed as an prefix.

#4 Mis à jour par Joël Cuissinat il y a plus de 11 ans

Assigné à mis à Joël Cuissinat

En fait, il y avait bien ce test mais il n'est plus bloquant depuis qu'on a ajouté le support des noms de domaine : 8b3a52ee :)

#5 Mis à jour par Joël Cuissinat il y a plus de 11 ans

Statut changé de En attente d'informations à Résolu
% réalisé changé de 0 à 100

Appliqué par commit 56276a3e70b730e8f5cf5fa92f1080ef8dc30779.

#6 Mis à jour par Joël Cuissinat il y a plus de 11 ans

Statut changé de Résolu à Fermé

root@amonecole-eclair:~# cat /usr/share/eole/firewall/00_root_bad.fw 
allow_src(interface='eth0', ip='1.1.1.2/1.1.1.0', port='666')
root@amonecole-eclair:~# /etc/init.d/bastion restart
 * Stopping l7filter                                                                                                           [ OK ] 
 * Stopping Serveur Creole: creole_serv                                                                                        [ OK ] 
 * Stopping firewall: bastion                                                                                                  [ OK ] 
 * Starting Serveur Creole: creole_serv                                                                                        [ OK ] 
 * Starting firewall: bastion (modèle "2zones-amonecole-nginx")
Error : Error for ip 1.1.1.2/1.1.1.0: Netmask 0x1010100L can't be expressed as an prefix. in 00_root_bad.fw
!! Erreur a la generation des regles eole-firewall !!
 non appliquées !                                                                                                              [fail]
 * Starting l7filter

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Commun » eole-common

Demandes

Rapports personnalisés