Projet

Général

Profil

Anomalie #7814

Erreur lors de la compilation pour DNAT avec nat_port="tous"

Ajouté par Jean-Marc MELET il y a environ 10 ans. Mis à jour il y a presque 10 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
developpeurs_eole
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.13
Début:
Echéance:
16/05/2014
% réalisé:

100%

Distribution:
EOLE 2.3

Description

Suite à http://dev-eole.ac-dijon.fr/issues/5491, la compilation des regles plante si on veut faire du DNAT avec service=tous et nat_port="0".
l'erreur retrounée est:

#--------------------------------------------------
Attention, erreur de coherence des directives Era
'NoneType' object has no attribute 'dport'
#--------------------------------------------------
/usr/lib/pymodules/python2.6/Cheetah/Compiler.py:1577: UserWarning: You supplied an empty string for the source!
  warnings.warn("You supplied an empty string for the source!", )

SVP demande correctif sur 2.3.12 rapidement, notre campagne de mises à jour est suspendue à cause de cela.

Merci

Révisions associées

Révision 3e5ffaf5 (diff)
Ajouté par Gwenael Remond il y a presque 10 ans

cas service=tous pris en compte, fixes #7814

Historique

#1 Mis à jour par Luc Bourdot il y a presque 10 ans

  • Statut changé de Nouveau à A étudier
  • Assigné à mis à developpeurs_eole

#2 Mis à jour par Gwenael Remond il y a presque 10 ans

  • Statut changé de A étudier à Résolu
  • % réalisé changé de 0 à 100

#3 Mis à jour par Luc Bourdot il y a presque 10 ans

  • Echéance mis à 16/05/2014
  • Version cible mis à Mises à jour 2.3.13

A passer si retour positif de Jean-Marc MELET .

#4 Mis à jour par Gwenael Remond il y a presque 10 ans

procédure de tests à faire pour la qualif :

1. test avec un service et un port 

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1:234
/sbin/iptables -t filter -A pub-ext -p tcp --dport 234 --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier que le port de redirection est présent

2. test avec un service et tous les ports

faire un modèle Era avec une directive de DNAT avec un service donné (ex: 8500) et tous les ports
(nouveau port=0)

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8500 --tcp-flags SYN,RST,ACK SYN -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1
/sbin/iptables -t filter -A pub-ext -p tcp --tcp-flags SYN,RST,ACK SYN -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier qu'il n'y a pas de port de redirection

3. test avec tous les service (service='tous') et tous les ports

/sbin/iptables -t nat -A PREROUTING -i eth4 -s 0/0 -d 0/0 -j DNAT --to-destination %%adresse_ip_eth1
/sbin/iptables -t filter -A pub-ext -i eth4 -o %%interface_gw -s 0/0 -d %%adresse_ip_eth1 -j ACCEPT

vérifier qu'il n'y a pas de service (--dport)

#5 Mis à jour par Jean-Marc MELET il y a presque 10 ans

OK avec cette version d'era je n'ai plus ces messages d'erreur. J'ai effectué les tests demandés pour la qualification, les regles sont bien générées conformément aux attentes.

Merci.

Attention cependant: le bon fonctionnement de cette version d'era est conditionnée par l'intégration du correctif de http://dev-eole.ac-dijon.fr/issues/6475 avec la même mise à jour (suivi des dicos qui intègrent la variable era_proxy_bypass_eth2)

#6 Mis à jour par Daniel Dehennin il y a presque 10 ans

  • Statut changé de Résolu à Fermé

Validé par le demandeur.

Formats disponibles : Atom PDF