Project

General

Profile

Anomalie #4283

Directive optionnelle scribe dmz

Added by Ludovic Landucci almost 11 years ago. Updated over 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Gwenael Remond
Category:
-
Target version:
Distribution EOLE - Mises à jour 2.3.8
Start date:
01/21/2013
Due date:
01/25/2013
% Done:

100%

Spent time:
0.50 h
Distribution:
EOLE 2.3

Description

Bonjour,

Sur Amon 2.3.5 en maj stable, la directive dmz/pedago de gestion d'un scribe en dmz n'est pas déclarée en directive optionnelle ce qui génère des alertes lors de la mise en place des règles iptables.

Serait-ce possible de rendre cette directive optionnelle "officiellement" dans les modèles de base ?

Merci.

Ludo.

Related issues

Related to conf-amon - Evolution #4644: Gestion des variables "ip_serveur_scribe_dmz" sur 2.4 Fermé 01/07/2013 12/20/2013
Related to ERA - Anomalie #4876: Directive optionnelle en double Fermé 11/08/2013
Related to ERA - Anomalie #4877: Erreurs bizarre Fermé

Associated revisions

Revision 98d2aaf4 (diff)
Added by Joël Cuissinat over 10 years ago

Ajout de la directive optionnelle ScribeDMZ dans les modèles "scribe"

Fixes #4283 @20m
Ref #138

Revision a2f0e143 (diff)
Added by Emmanuel GARETTE over 10 years ago

bastion.sh :
- désactivation de tcpwrapper (fixes #4877)
- s'arrête si la génération de template ne fonctionne pas (ref #4900)

templates/subtmpl/abstract/dmz-scribe.xml : règles Scribe sont optionnelles (fixes #4283)

Revision 4f1883c3 (diff)
Added by Johan Cwiklinski about 5 years ago

Use translated values for display only, fixes #4283

History

#1 Updated by Joël Cuissinat over 10 years ago

  • Assigned To set to Gwenael Remond
  • Target version set to Mises à jour 2.3.8

#2 Updated by Joël Cuissinat over 10 years ago

Mise en place de la directive optionnelle ScribeDMZ avec ajout dans active_tags par le commit conf-amon:f328279f

#3 Updated by Joël Cuissinat over 10 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#4 Updated by Luc Bourdot over 10 years ago

  • Due date set to 01/25/2013
  • Start date changed from 10/15/2012 to 01/21/2013

#5 Updated by Emmanuel GARETTE over 10 years ago

  • Status changed from Résolu to À valider

Pour moi ce n'est pas bon. J'ai activer 3 zones et choisit le modèle "3zones-scribe" :

iptables v1.4.4: Need TCP, UDP, SCTP or DCCP with port specification
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: Need TCP, UDP, SCTP or DCCP with port specification
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.

Dans le fichier /sbin/lance.firewall :

### autoriser scribe a se connecter au reseau pedago 
/sbin/iptables -t filter -A dmz-adm -m state --state NEW -p tcp --dport 137:139 --tcp-flags SYN,RST,ACK SYN -i eth2 -o eth1 -s /255.255.255.255 -d 0/0 -j ACCEPT
...

#6 Updated by Emmanuel GARETTE over 10 years ago

Si je clique sur la directive DMZ => exterieur :

root@amonecole:/usr/share/era/modeles# era -f /usr/share/era/modeles/3zones-scribe.xml 
Gtk-Message: Failed to load module "canberra-gtk-module": libcanberra-gtk-module.so: Ne peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce type
Traceback (most recent call last):
  File "/usr/share/era/ihm/directive.py", line 301, in button_pressed
    self.directive_edit(treeview)
  File "/usr/share/era/ihm/directive.py", line 319, in directive_edit
    selected_dir, iter_sel)
  File "/usr/share/era/ihm/directive.py", line 459, in __init__
    self._fill_dialog()
  File "/usr/share/era/ihm/directive.py", line 500, in _fill_dialog
    active_iter = get_iter_from_value(self.tag_combo, self.edited_dir.get_tag())
  File "/usr/share/era/ihm/ihm_utils.py", line 672, in get_iter_from_value
    raise ValueError("iter not found corresponding to {0}".format(value))
ValueError: iter not found corresponding to ScribeDMZ

#7 Updated by Emmanuel GARETTE over 10 years ago

Pour éviter la dernière erreur il faut modifier la ligne comme suite :

                <directive action="16" attrs="0" dest_inv="0" libelle="autoriser scribe a sortir sur Internet" nat_extr="exterieur_bastion" nat_port="0" priority="1" serv_inv="0" service="tous" src_inv="0" tag="ScribeDMZ">

par :

                <directive tag="ScribeDMZ" service="tous" priority="1" action="16" attrs="17" nat_extr="exterieur_bastion" nat_port="0" src_inv="0" dest_inv="0" serv_inv="0" libelle="autoriser scribe a sortir sur Internet" ipsec="0" accept="0">

Mais ca ne marche toujours pas.

#8 Updated by Emmanuel GARETTE over 10 years ago

  • Status changed from À valider to Résolu

#9 Updated by Joël Cuissinat over 10 years ago

  • Status changed from Résolu to Fermé

Avec le paquet era 2.3-eole33~7 :

  • le bug décrit dans la note note n°6 n'est pas reproduit
  • et :
    root@amonecole:~# grep tag=\"ScribeDMZ\" /usr/share/era/modeles/*.xml | wc -l
14
root@amonecole:~# grep tag=\"ScribeDMZ\" /usr/share/era/modeles/*.xml | grep -c attrs=\"17\" 
14

Also available in: Atom PDF