Project

General

Profile

Anomalie #7814

Erreur lors de la compilation pour DNAT avec nat_port="tous"

Added by Jean-Marc MELET over 9 years ago. Updated over 9 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
developpeurs_eole
Category:
-
Target version:
Distribution EOLE - Mises à jour 2.3.13
Start date:
Due date:
05/16/2014
% Done:

100%

Distribution:
EOLE 2.3

Description

Suite à http://dev-eole.ac-dijon.fr/issues/5491, la compilation des regles plante si on veut faire du DNAT avec service=tous et nat_port="0".
l'erreur retrounée est:

#--------------------------------------------------
Attention, erreur de coherence des directives Era
'NoneType' object has no attribute 'dport'
#--------------------------------------------------
/usr/lib/pymodules/python2.6/Cheetah/Compiler.py:1577: UserWarning: You supplied an empty string for the source!
  warnings.warn("You supplied an empty string for the source!", )

SVP demande correctif sur 2.3.12 rapidement, notre campagne de mises à jour est suspendue à cause de cela.

Merci

Associated revisions

Revision 3e5ffaf5 (diff)
Added by Gwenael Remond over 9 years ago

cas service=tous pris en compte, fixes #7814

History

#1 Updated by Luc Bourdot over 9 years ago

  • Status changed from Nouveau to A étudier
  • Assigned To set to developpeurs_eole

#2 Updated by Gwenael Remond over 9 years ago

  • Status changed from A étudier to Résolu
  • % Done changed from 0 to 100

#3 Updated by Luc Bourdot over 9 years ago

  • Due date set to 05/16/2014
  • Target version set to Mises à jour 2.3.13

A passer si retour positif de Jean-Marc MELET .

#4 Updated by Gwenael Remond over 9 years ago

procédure de tests à faire pour la qualif :

1. test avec un service et un port 

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1:234
/sbin/iptables -t filter -A pub-ext -p tcp --dport 234 --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier que le port de redirection est présent

2. test avec un service et tous les ports

faire un modèle Era avec une directive de DNAT avec un service donné (ex: 8500) et tous les ports
(nouveau port=0)

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1
/sbin/iptables -t filter -A pub-ext -p tcp --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier qu'il n'y a pas de port de redirection

3. test avec tous les service (service='tous') et tous les ports

/sbin/iptables -t nat -A PREROUTING -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1
/sbin/iptables -t filter -A pub-ext -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier qu'il n'y a pas de service (--dport)

#5 Updated by Jean-Marc MELET over 9 years ago

OK avec cette version d'era je n'ai plus ces messages d'erreur. J'ai effectué les tests demandés pour la qualification, les regles sont bien générées conformément aux attentes.

Merci.

Attention cependant: le bon fonctionnement de cette version d'era est conditionnée par l'intégration du correctif de http://dev-eole.ac-dijon.fr/issues/6475 avec la même mise à jour (suivi des dicos qui intègrent la variable era_proxy_bypass_eth2)

#6 Updated by Daniel Dehennin over 9 years ago

  • Status changed from Résolu to Fermé

Validé par le demandeur.

Also available in: Atom PDF