Tâche #3597
Scénario #14966: Assistance aux utilisateurs (07-09)
Etudier si les règles iptables sont suffisante sur Scribe
100%
Description
nous avons besoin de findsmb et nmblookup pour nos opérations d'assistance
les règles iptables actuelles empêchent leur fonctionnement.
Pourriez-vous ajouter une règle autorisant la réponse depuis le port 137 ?
genre :
/sbin/iptables -I wide-root -m state --state NEW -s 0.0.0.0/0 -p udp -m udp --sport 137 -j ACCEPT
merci
Demandes liées
Révisions associées
Delete delegate and supervisor of groups from massive actions see #3597
Historique
#1 Mis à jour par Emmanuel GARETTE il y a presque 12 ans
Il n'est pas possible d'affiner cette règle ?
Parce que là, n'importe quelle requête UDP sera accepté si elle est émise depuis le port 137. Cela revient a supprimer toutes règles de firewall sur UDP.
Pour répondre à la question, il n'est pas possible de cette règle sur Era ou eole-firewall pour l'instant.
#2 Mis à jour par Emmanuel GARETTE il y a presque 12 ans
- Statut changé de Nouveau à En attente d'informations
#3 Mis à jour par Pascal RATTE il y a presque 12 ans
J'ai fait quelques recherche mais je ne suis pas un spécialiste iptables et je n'ai pas trouvé mieux.
L'idée est de permettre la réponse d'un poste à un brodcast initié par Scribe.
10:23:09.704936 IP scribe.etab.local.34055 > 172.30.44.255.netbios-ns: NBT UDP PACKET: QUERY; REQUEST; BROADCAST
10:23:09.705166 IP 172.30.44.107.netbios-ns > scribe.etab.local.34055: NBT UDP PACKET: QUERY; POSITIVE; RESPONSE; UNICAST
la dernière règle iptables (ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED) ne servant à rien dans ce cas là...
#4 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Tracker changé de Anomalie à Tâche
- Sujet changé de Iptables a rajouter sur Scribe 2.3 à Etudier si les règles iptables sont suffisante sur Scribe
- Tâche parente mis à #13618
- Distribution changé de EOLE 2.3 à Toutes
#5 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Tracker changé de Tâche à Demande
- Statut changé de En attente d'informations à Nouveau
#6 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Tracker changé de Demande à Tâche
- Distribution mis à Toutes
#7 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Temps estimé mis à 2.00 h
- Restant à faire (heures) mis à 2.0
#8 Mis à jour par Joël Cuissinat il y a plus de 8 ans
Pascal Ratte a écrit :
Sachez tout de même qu'avec le temps (pour https://dev-eole.ac-dijon.fr/issues/3597#change-56756 = 3ans), si ces demandes avaient une importance dans notre architecture, on aura déjà implémenté la solution en local ou sinon abandonné la fonctionnalité...
#9 Mis à jour par Joël Cuissinat il y a environ 8 ans
- Début
08/06/2012supprimé - Tâche parente
#13618supprimé
#10 Mis à jour par Joël Cuissinat il y a environ 8 ans
- Tracker changé de Tâche à Demande
- Version cible
sprint 2016 01-03 - Equipe MENESRsupprimé - Début mis à 22/01/2016
#11 Mis à jour par Scrum Master il y a environ 8 ans
- Assigné à mis à Klaas TJEBBES
#12 Mis à jour par Klaas TJEBBES il y a environ 8 ans
- Tracker changé de Demande à Tâche
- Tâche parente mis à #14966
#13 Mis à jour par Klaas TJEBBES il y a environ 8 ans
gen_config permet d'autoriser le port udp 137 en port source (mode expert, "Autoriser l'ouverture de flux à partir d'un port source" 'activer_regles_filtrage_port_source'):
http://eole.ac-dijon.fr/pub/Documentations/manuels/2.5/completes/HTML/ModuleScribe/co/21b-SambaExpertScribe.html
#14 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Nouveau à Résolu
#15 Mis à jour par Daniel Dehennin il y a environ 8 ans
- % réalisé changé de 0 à 100
#16 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 2.0 à 0.0