Projet

Général

Profil

Anomalie #6471

incohérence SNAT sur la zone admin

Ajouté par Jean-Marc MELET il y a plus de 10 ans. Mis à jour il y a environ 10 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Gilles Grandgérard
Catégorie:
-
Version cible:
Distribution EOLE - Eole 2.4-RC1
Début:
Echéance:
08/11/2013
% réalisé:

100%

Temps passé:
0.33 h
Distribution:
EOLE 2.4

Description

Depuis la version 2.3, dans tous les modeles XML la regle de SNAT générée pour les regles descendantes entre <zone:exterieur> et <zone:admin> est avec 0/0 en source au lieu du sous-réseau admin.
Il semble que ce soit un effet de bord lorsque l'extremité côté admin a comme source name "admin" pour la regle dans ERA. En effet, si on met à la place source name="admin_restreint", le SNAT est bien effectué avec le sous-réseau admin en source et non 0/0. D'ailleurs en comparaison pour le peda c'est bien "pedago_restreint" en extremité et on a pas ce problème.
Il y a donc incohérence entre l'admin et le péda sur ce point mais de plus le fait que tous les sous-réseaux se retrouvent natés par défaut n'est pas désirable, notamment pour les DMZ.
Pour info, on n'avait pas ce comportement en 2.2

root@amon.lyc-caillie.local:~# iptables -t nat -L POSTROUTING |grep SNAT
SNAT       all  --  anywhere             anywhere            to:10.113.31.245 
SNAT       all  --  172.20.247.240/28    anywhere            to:10.113.31.245

Révisions associées

Révision 8ffa7d18 (diff)
Ajouté par Gwenael Remond il y a plus de 10 ans

changement extremite de la regle de SNAT admin_restreint, fixes #6471

Historique

#1 Mis à jour par Gwenael Remond il y a plus de 10 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#2 Mis à jour par Gwenael Remond il y a plus de 10 ans

  • Assigné à mis à Gwenael Remond
  • Distribution changé de EOLE 2.3 à EOLE 2.4

changement de comportement -> ne sera pas modifié sur la 2.3...

#3 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Echéance mis à 08/11/2013
  • Version cible mis à Eole 2.4-beta3

#4 Mis à jour par Gilles Grandgérard il y a plus de 10 ans

  • Assigné à changé de Gwenael Remond à Gilles Grandgérard

#5 Mis à jour par Luc Bourdot il y a environ 10 ans

  • Version cible changé de Eole 2.4-beta3 à Eole 2.4-RC1

#6 Mis à jour par Daniel Dehennin il y a environ 10 ans

Quel est le protocole de test pour reproduire le problème ?

#7 Mis à jour par Jean-Marc MELET il y a environ 10 ans

Rien de spécial, juste un Amon 2.3 avec une patte admin et constater que 0/0 est SNATé sur eth0 dans les regles iptables

#8 Mis à jour par Joël Cuissinat il y a environ 10 ans

  • Statut changé de Résolu à Fermé

Il n'y a plus la règle "anywhere anywhere" sur 2.4 :

root@amon:~#  iptables -t nat -L POSTROUTING |grep SNAT
SNAT       all  --  10.21.11.0/24        anywhere             to:192.168.230.141
root@amon:~#

#9 Mis à jour par Jean-Marc MELET il y a environ 10 ans

A la bonne heure alors... pour une fois qu'une demande se résout toute seule :D

Formats disponibles : Atom PDF