Anomalie #7814
Erreur lors de la compilation pour DNAT avec nat_port="tous"
100%
Description
Suite à http://dev-eole.ac-dijon.fr/issues/5491, la compilation des regles plante si on veut faire du DNAT avec service=tous et nat_port="0".
l'erreur retrounée est:
#-------------------------------------------------- Attention, erreur de coherence des directives Era 'NoneType' object has no attribute 'dport' #-------------------------------------------------- /usr/lib/pymodules/python2.6/Cheetah/Compiler.py:1577: UserWarning: You supplied an empty string for the source! warnings.warn("You supplied an empty string for the source!", )
SVP demande correctif sur 2.3.12 rapidement, notre campagne de mises à jour est suspendue à cause de cela.
Merci
Révisions associées
cas service=tous pris en compte, fixes #7814
Historique
#1 Mis à jour par Luc Bourdot il y a presque 10 ans
- Statut changé de Nouveau à A étudier
- Assigné à mis à developpeurs_eole
#2 Mis à jour par Gwenael Remond il y a presque 10 ans
- Statut changé de A étudier à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 3e5ffaf50388fb4a9d1101381a4b07c9d1e360a0.
#3 Mis à jour par Luc Bourdot il y a presque 10 ans
- Echéance mis à 16/05/2014
- Version cible mis à Mises à jour 2.3.13
A passer si retour positif de Jean-Marc MELET .
#4 Mis à jour par Gwenael Remond il y a presque 10 ans
procédure de tests à faire pour la qualif :
1. test avec un service et un port
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1:234 /sbin/iptables -t filter -A pub-ext -p tcp --dport 234 --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT
vérifier que le port de redirection est présent
2. test avec un service et tous les ports
faire un modèle Era avec une directive de DNAT avec un service donné (ex: 8500) et tous les ports
(nouveau port
=0)
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1 /sbin/iptables -t filter -A pub-ext -p tcp --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT
vérifier qu'il n'y a pas de port de redirection
3. test avec tous les service (service='tous') et tous les ports
/sbin/iptables -t nat -A PREROUTING -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1 /sbin/iptables -t filter -A pub-ext -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT
vérifier qu'il n'y a pas de service (--dport
)
#5 Mis à jour par Jean-Marc MELET il y a presque 10 ans
OK avec cette version d'era je n'ai plus ces messages d'erreur. J'ai effectué les tests demandés pour la qualification, les regles sont bien générées conformément aux attentes.
Merci.
Attention cependant: le bon fonctionnement de cette version d'era est conditionnée par l'intégration du correctif de http://dev-eole.ac-dijon.fr/issues/6475 avec la même mise à jour (suivi des dicos qui intègrent la variable era_proxy_bypass_eth2)
#6 Mis à jour par Daniel Dehennin il y a presque 10 ans
- Statut changé de Résolu à Fermé
Validé par le demandeur.