https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2014-01-15T10:47:10ZEnsemble Ouvert Libre ÉvolutifERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=259722014-01-15T10:47:10ZEmmanuel GARETTE
<ul></ul><p>Que voulez faire exactement ?</p>
<p>Si on ping le serveur A, les pings sont redirigés vers le serveur B ?</p>
<p>Quel est l'intérêt ?</p> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=259902014-01-15T15:01:13ZPhilippe Carrephilippe.carre@developpement-durable.gouv.fr
<ul></ul><p>Test de base, rien de plus. Effectivement pour pinger un serveur de la DMZ, depuis n'importe quel poste.<br />Je reconnais que ça a pas un grand intéret...</p>
<p>N'empeche, on pouvait le faire avec les anciennes versions. Maintenant, cette directive empeche la création du fichier des règles iptables.</p> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=268252014-02-04T14:51:12ZThierry Bertrandthierry.bertrand@developpement-durable.gouv.fr
<ul></ul><p>L'intérêt dépend du contexte :<br />soit un lan séparé du wan par un amon<br />Le tout dans un adressage privé.</p>
<p>Sur l'amon, on rajoute une zone dédiée à une box Internet dans un adressage non routé intranet</p>
<p>Si on veut faire du traffic vers Internet via la box => nécessite du nat sinon pas de retour.<br />ICMP est juste là pour les diagnotics.</p> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=280782014-03-10T16:12:31ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>A étudier</i></li><li><strong>Version cible</strong> mis à <i>Mises à jour 2.3.13</i></li></ul> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=304582014-05-12T08:11:02ZDaniel Dehennin
<ul><li><strong>Echéance</strong> mis à <i>16/05/2014</i></li></ul> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=305772014-05-13T14:33:22ZDaniel Dehennin
<ul></ul><p>Je présume qu’il n’y a pas besoin de gérer <strong><code>--icmp-type</code></strong> ?</p>
<pre>
root@amon:~# iptables -p icmp -h
iptables v1.4.4
[...]
icmp match options:
[!] --icmp-type typename match icmp type
[!] --icmp-type type[/code] (or numeric type or type/code)
Valid ICMP Types:
any
echo-reply (pong)
destination-unreachable
network-unreachable
host-unreachable
protocol-unreachable
port-unreachable
fragmentation-needed
source-route-failed
network-unknown
host-unknown
network-prohibited
host-prohibited
TOS-network-unreachable
TOS-host-unreachable
communication-prohibited
host-precedence-violation
precedence-cutoff
source-quench
redirect
network-redirect
host-redirect
TOS-network-redirect
TOS-host-redirect
echo-request (ping)
router-advertisement
router-solicitation
time-exceeded (ttl-exceeded)
ttl-zero-during-transit
ttl-zero-during-reassembly
parameter-problem
ip-header-bad
required-option-missing
timestamp-request
timestamp-reply
address-mask-request
address-mask-reply
</pre> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=305782014-05-13T14:33:58ZDaniel Dehennin
<ul><li><strong>Statut</strong> changé de <i>A étudier</i> à <i>Accepté</i></li><li><strong>Assigné à</strong> mis à <i>Gwenael Remond</i></li><li><strong>Début</strong> mis à <i>13/05/2014</i></li></ul> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=306122014-05-14T09:51:32ZJean-Marc MELETjean-marc.melet@ac-aix-marseille.fr
<ul></ul><p>Autre cas de figure:</p>
<p>Sur un amonhorus, si on ajoute une zone pour le réseau pédagogique et que l'on veuille autoriser le ping du conteneur fichier depuis le péda. Je ne suis jamais parvenu à communiquer vers l'ip link d'un conteneur à partir d'une zone qui n'est pas sur le même réseau local que cette ip link de ce conteneur. Du coup pour y parvenir j'ai du creer les regles suivantes (10.4.201.6 est l'ip link du conteneur fichier):</p>
<pre>iptables -t nat -I PREROUTING -i eth2 -d 10.4.201.6 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j DNAT --to-destination 192.0.2.52
iptables -A FORWARD -i eth2 -o br0 -d 192.0.2.52 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT</pre>
<p>Si on essaie de le faire par une directive dans era on tombe sur le message d'erreur</p>
<p>Cependant j'ai l'impression que cela n'est pas uniquement lié à du DNAT. Je prend un autre exemple:</p>
<p>Toujours sur amonecole, je veux créer une regle qui autorise juste le ping depuis le réseau admin vers l'ip eth1 (je sais à priori c'est inutile car cela fonctionne déja, mais c'est pour le principe). Si je crée une extrémité sur la zone bastion ayant comme valeur %%adresse_ip_eth1 (je sais il faut choisir l'extrémité "bastion" qui est prévu à cet effet mais là encore c'est pour le principe) et que je crée une directive qui autorise echo-request depuis la zone admin entière vers cette adresse j'ai également ce message d'erreur (alors que je n'en ai pas si je fais la même chose avec un autre service, par exemple autoriser le port 53 depuis la zone admin entière vers cette extrémité)</p>
<p>En espérant que cela puisse aider</p> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=306512014-05-15T09:41:31ZGwenael Remond
<ul><li><strong>Statut</strong> changé de <i>Accepté</i> à <i>Résolu</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li></ul><p>Appliqué par commit <a class="changeset" title="icmp dans le cadre du DNAT, fixes #7102" href="https://dev-eole.ac-dijon.fr/projects/era/repository/revisions/11a647fc4c4bd498755280b1730db3fa9c17eaaa">11a647fc4c4bd498755280b1730db3fa9c17eaaa</a>.</p> ERA - Anomalie #7102: ICMPProtocol object has no attribute dporthttps://dev-eole.ac-dijon.fr/issues/7102?journal_id=306902014-05-15T12:48:26ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li></ul><p>Deux directives testées : icmp-request et icmp-reply en dnat<br /><pre>
<directive service="echo-request" priority="1" action="8" attrs="0" nat_extr="admin" nat_port="0" src_inv="0" dest_inv="0" serv_inv="0" libelle="titi" ipsec="0" accept="0">
<source name="exterieur"/>
<destination name="admin"/>
</directive>
<directive service="echo-reply" priority="2" action="8" attrs="0" mark_operator="None" mark_value="" nat_extr="admin" nat_port="0" src_inv="0" dest_inv="0" serv_inv="0" libelle="titi-reply" ipsec="0" accept="0">
<source name="exterieur"/>
<destination name="admin"/>
</directive>
</pre></p>
<p>les règles sont bien créées par le compilateur :<br /><pre>
### titi
/sbin/iptables -t nat -A PREROUTING -p icmp --icmp-type echo-request -i eth0 -s 0/0 -d 0/0 -j DNAT --to-destination 10.98.0.1
### titi-reply
/sbin/iptables -t nat -A PREROUTING -p icmp --icmp-type echo-reply -i eth0 -s 0/0 -d 0/0 -j DNAT --to-destination 10.98.0.1
/sbin/iptables -t filter -A ext-adm -p icmp --icmp-type echo-request -i eth0 -o eth1 -s 0/0 -d 10.98.0.1 -j ACCEPT
/sbin/iptables -t filter -A ext-adm -p icmp --icmp-type echo-reply -i eth0 -o eth1 -s 0/0 -d 10.98.0.1 -j ACCEPT
</pre></p>