Projet

Général

Profil

Anomalie #6478

Commentaires des règles dans lance.firewall

Ajouté par Jean-Marc MELET il y a plus de 10 ans. Mis à jour il y a plus de 10 ans.

Statut:
Fermé
Priorité:
Bas
Assigné à:
Gwenael Remond
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.11
Début:
Echéance:
08/11/2013
% réalisé:

100%

Temps passé:
0.17 h
Distribution:
EOLE 2.3

Description

Ceci est juste un problème cosmétique d'affichage des commentaires dans la génération de lance.firewall.
Lorsqu'on édite le fichier, il apparait plusieures regles citées en dessous du commentaire "Paquets contenant la zone pubdmz" mais qui ne concernent pas cette zone (par ex des regles ped-pri et pri-ped):

## Paquets contenant la zone pubdmz 
/sbin/iptables -t filter -A pub-ext -i eth4 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A ext-pub -i eth0 -o eth4 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A adm-pub -i eth1 -o eth4 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A pub-adm -i eth4 -o eth1 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A pub-bas -i eth4 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A ped-pri -i eth2 -o eth3 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A pri-ped -i eth3 -o eth2 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A ped-pub -i eth2 -o eth4 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A pub-ped -i eth4 -o eth2 -s 0/0 -d 0/0 -j DROP
/sbin/iptables -t filter -A pri-pub -i eth3 -o eth4 -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A pub-pri -i eth4 -o eth3 -s 0/0 -d 0/0 -j DROP

D'autre part, le classement des règles concernant les redirections pour wpad n'est pas clair. L'ensemble des règles concernées pour les zones admin et peda sont affichées dans plusieures sections de commentaires:

### Redirection des flux vers le serveur de distribution du fichier wpad 
/sbin/iptables -t filter -A adm-bas -i eth1 -p tcp --dport 81 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81
## Regles montantes entre <zone:bastion> et <zone:admin> 
### Redirection pour le fichier wpad. 
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.13.31.125 -j REDIRECT --to-ports 81
## Regles montantes entre <zone:bastion> et <zone:pedago> 
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 172.20.247.245 -j REDIRECT --to-ports 81
### pedago -> exterieur : tout interdire (sauf le web via le proxy) : INACTIVE 
/sbin/iptables -t filter -A ped-bas -i eth2 -p tcp --dport 81 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 81

Révisions associées

Révision 84125aab (diff)
Ajouté par Gwenael Remond il y a plus de 10 ans

ajout des commentaires, fixes #6478

Révision 18327671 (diff)
Ajouté par Gwenael Remond il y a plus de 10 ans

ajout des commentaires, fixes #6478

Historique

#1 Mis à jour par Gwenael Remond il y a plus de 10 ans

dans le cas des règles "## Paquets contenant la zone" je n'arrive pas à reproduire ce bug sur les commentaires.
je ne vois pas dans le code ce qui pourrait provoquer un tel bug.
quel modèle utilises-tu ? quelle version d'Era ?

#2 Mis à jour par Gwenael Remond il y a plus de 10 ans

ah. si c bon, j'ai reproduit...

#3 Mis à jour par Gwenael Remond il y a plus de 10 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#4 Mis à jour par Gwenael Remond il y a plus de 10 ans

#5 Mis à jour par Gwenael Remond il y a plus de 10 ans

en ce qui concerne le classement des règles wpad, pour l'instant pas grand chose à faire, ça ne peut pas être réordonné car ce qui concerne wpad est dans deux directives (au sens Era, dans l'interface) séparées, donc les directives étant différentes, la génération se fera à deux endroits différents.

Pouvoir réorganiser les directives et les règles en fonctions d'un thème donné n'est pas encore une fonctionnalité implémentée dans Era (et ça ferait l'objet d'une release majeure)

#6 Mis à jour par Gwenael Remond il y a plus de 10 ans

  • Assigné à mis à Gwenael Remond
  • Distribution changé de EOLE 2.3 à Toutes

#7 Mis à jour par Fabrice Barconnière il y a plus de 10 ans

  • Echéance mis à 08/11/2013
  • Version cible mis à Mises à jour 2.3.11
  • Distribution changé de Toutes à EOLE 2.3

#8 Mis à jour par Fabrice Barconnière il y a plus de 10 ans

  • Statut changé de Résolu à Fermé

OK pour la première partie de la demande.
La 2ème partie n'a pu être traitée car elle nécessite un peu plus que du développement d'ERA.

Formats disponibles : Atom PDF