Project

General

Profile

Anomalie #6471

incohérence SNAT sur la zone admin

Added by Jean-Marc MELET over 7 years ago. Updated about 7 years ago.

Status:
Fermé
Priority:
Normal
Category:
-
Start date:
Due date:
11/08/2013
% Done:

100%

Spent time:
Distribution:
EOLE 2.4

Description

Depuis la version 2.3, dans tous les modeles XML la regle de SNAT générée pour les regles descendantes entre <zone:exterieur> et <zone:admin> est avec 0/0 en source au lieu du sous-réseau admin.
Il semble que ce soit un effet de bord lorsque l'extremité côté admin a comme source name "admin" pour la regle dans ERA. En effet, si on met à la place source name="admin_restreint", le SNAT est bien effectué avec le sous-réseau admin en source et non 0/0. D'ailleurs en comparaison pour le peda c'est bien "pedago_restreint" en extremité et on a pas ce problème.
Il y a donc incohérence entre l'admin et le péda sur ce point mais de plus le fait que tous les sous-réseaux se retrouvent natés par défaut n'est pas désirable, notamment pour les DMZ.
Pour info, on n'avait pas ce comportement en 2.2

root@amon.lyc-caillie.local:~# iptables -t nat -L POSTROUTING |grep SNAT
SNAT       all  --  anywhere             anywhere            to:10.113.31.245 
SNAT       all  --  172.20.247.240/28    anywhere            to:10.113.31.245 

Associated revisions

Revision 8ffa7d18 (diff)
Added by Gwenael Remond over 7 years ago

changement extremite de la regle de SNAT admin_restreint, fixes #6471

History

#1 Updated by Gwenael Remond over 7 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#2 Updated by Gwenael Remond over 7 years ago

  • Assigned To set to Gwenael Remond
  • Distribution changed from EOLE 2.3 to EOLE 2.4

changement de comportement -> ne sera pas modifié sur la 2.3...

#3 Updated by Joël Cuissinat over 7 years ago

  • Due date set to 11/08/2013
  • Target version set to Eole 2.4-beta3

#4 Updated by Gilles Grandgérard about 7 years ago

  • Assigned To changed from Gwenael Remond to Gilles Grandgérard

#5 Updated by Luc Bourdot about 7 years ago

  • Target version changed from Eole 2.4-beta3 to Eole 2.4-RC1

#6 Updated by Daniel Dehennin about 7 years ago

Quel est le protocole de test pour reproduire le problème ?

#7 Updated by Jean-Marc MELET about 7 years ago

Rien de spécial, juste un Amon 2.3 avec une patte admin et constater que 0/0 est SNATé sur eth0 dans les regles iptables

#8 Updated by Joël Cuissinat about 7 years ago

  • Status changed from Résolu to Fermé

Il n'y a plus la règle "anywhere anywhere" sur 2.4 :

root@amon:~#  iptables -t nat -L POSTROUTING |grep SNAT
SNAT       all  --  10.21.11.0/24        anywhere             to:192.168.230.141
root@amon:~#

#9 Updated by Jean-Marc MELET about 7 years ago

A la bonne heure alors... pour une fois qu'une demande se résout toute seule :D

Also available in: Atom PDF