Anomalie #8077
Pb generation regles iptables lorsque vlan Actif
Description
Bonjour,
Je rencontre un pb avec Era 2.3-eole38 et l'interpretation des variables d'une nouvelle zone s'appuyant sur un vlan.
J'ai créer une zone "vlan-gtb" en respectant ce signalement http://dev-eole.ac-dijon.fr/issues/7742#change-29799:
- interface: eth3.%%id_vlan_eth30
- ip varaible: %%id_vlan_eth30.adresse_ip_vlan_eth3
- netmask varaible: %%id_vlan_eth30.adresse_netmask_vlan_eth3
- network varaible: %%id_vlan_eth30.adresse_network_vlan_eth3
Après avoir appliquer le modèle era: j'ai ce message d'erreur:
* Stopping l7filter [ OK ]
* Stopping Serveur Creole: creole_serv [ OK ]
* Stopping firewall: bastion [ OK ]
* Starting Serveur Creole: creole_serv [ OK ]
* Starting firewall: bastion (modèle "4zones-scribe-nginx-creteil-gtb")Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: interface name `eth3.%id_vlan_eth30' must be shorter than IFNAMSIZ (15)
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: invalid mask `%id_vlan_eth30.adresse_netmask_vlan_eth3' specified
Try `iptables -h' or 'iptables --help' for more information.
[ OK ]
* Starting l7filter
- On fait sortir les membres du vlan-gtb par le premier Alias eth0
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s %id_vlan_eth30.adresse_network_vlan_eth3/%id_vlan_eth30.adresse_netmask_vlan_eth3 -d 0/0 -j SNAT --to-source 62.100.135.122
/sbin/iptables -t filter -A vla-ext -i eth3.7 -o eth0 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
Dans ces 2 règles qui se suivent, on peut voir que la premiere règle interprete mal car ca conserve un seul % alors que dans la deuxieme ligne les varaibles sont bien remplacées.
Je joins en piece jointe les fichiers suivants: config.eole, le modele de parefeu: 4zones-scribe-nginx-creteil-gtb.xml, le dicos que j'ai ecris dico-gtb-23.xml, et le fichier /sbin/lance.firewall.
Merci à vous pour votre aide
Historique
#1 Mis à jour par philippe ferreira il y a environ 10 ans
- Fichier 4zones-scribe-nginx-creteil.xml Voir ajouté
je joins egalement le modele pere du modele de parefeu si necessaire: /usr/share/era/modeles/4zones-scribe-nginx-creteil.xml
#2 Mis à jour par Luc Bourdot il y a environ 10 ans
- Statut changé de Nouveau à A étudier
- Assigné à mis à Gwenael Remond
#3 Mis à jour par Gwenael Remond il y a environ 10 ans
- Projet changé de Amon à ERA
#4 Mis à jour par Gwenael Remond il y a environ 10 ans
- Statut changé de A étudier à Pas un bug
plusieurs erreurs dans le modèle :
- syntaxe Créole incomplète dans le nom de l'interface (
eth3.%%{id_vlan_eth3}
il fallait rajouter les accolades - ajout de conditions dans le dictionnaire (les balises
group
) - utilisation de plusieurs variables multiples dans une directive avec des variables multiples qui appartiennent à des groupes master/slave différents
- notations Créole erronées (
%%id_vlan_eth3[0].adresse_netmask_vlan_eth3
)
#5 Mis à jour par Gwenael Remond il y a environ 10 ans
- % réalisé changé de 0 à 100