Tâche #8724
Scénario #12437: mises à jour la version ERA 2.4.3
ERA: pas de règle implicite pour les services udp
Description
quand on crée par exemple une règle de DNAT avec un service udp,
la règle implicit "ACCEPT" n'est pas créée. Par contre pas de soucis pour le tcp.
(vu avec Gwen)
Historique
#1 Mis à jour par Gwenael Remond il y a plus de 9 ans
- Statut changé de Nouveau à Accepté
- Assigné à mis à Gwenael Remond
- Version cible mis à 189
- Temps estimé mis à 1.00 h
#2 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Tracker changé de Anomalie à Bac à idée
- Version cible
189supprimé
#3 Mis à jour par Gwenael Remond il y a plus de 8 ans
- Tracker changé de Bac à idée à Tâche
- Début mis à 20/07/2015
- Tâche parente mis à #12437
- Restant à faire (heures) mis à 1.0
- Distribution changé de Toutes à EOLE 2.4
#4 Mis à jour par Gwenael Remond il y a plus de 8 ans
- % réalisé changé de 0 à 20
Je n'arrive pas à reproduire le problème.
J'ai d'abord créé un service utilisant le protocole UDP sur un port donné, puis une directive de type DNAT de DMZ vers EXTERIEUR utilisant ce service, l'extrémité de redirection étant l'extrémité <serveur_scribe_dmz>. J'ai bien une règle implicite de type ACCEPT qui ouvre le port correspondant au port renseigné dans le port de redirection.
Est-il possible d'avoir un cas d'usage qui reproduise le bug ?
#5 Mis à jour par Karim Ayari il y a plus de 8 ans
oui pas de problème, je ferais cela demain. merci Gwen.
#6 Mis à jour par Karim Ayari il y a plus de 8 ans
problème reproduit, attention quand j'ai créé la demande c'était en 2.3 et mes tests sont toujours en 2.3, alors peut-être que cela a été corrigé depuis ?!
j'ai créé une règle de DNAT venant de l'extérieur vers un serveur en dmz avec un service udp par exemple samba-udp et voilà le résultat :
root@plateformetest:/usr/share/era/modeles# iptables-save |grep "137:139" |grep 192.168.220.11
-A PREROUTING -d 10.169.253.252/32 -i eth0 -p udp -m udp --dport 137:139 -j DNAT --to-destination 192.168.220.11
root@plateformetest:/usr/share/era/modeles# iptables-save |grep "137:139" |grep ext-bas
root@plateformetest:/usr/share/era/modeles#
la règle ACCEPT n'est pas créée.
#7 Mis à jour par Gwenael Remond il y a plus de 8 ans
- Début changé de 20/07/2015 à 21/07/2015
#8 Mis à jour par Gwenael Remond il y a plus de 8 ans
La règle en ACCEPT existe bien mais tu n'as pas greppé la bonne chaîne : ce n'est pas dans la chaîne ext-bas
mais dans la chaîne ext-dmz
car il s'agit d'un accept en forward, et pas en input.
Par contre, tu nous as aidé à découvrir un bug :) ton grep "137:139"
dans l'iptables-save est tout-à-fait pertinent mais la règle en ACCEPT générée n'est liée à aucun port, ce qui n'est pas normal !!!
> ### test_serveur > /sbin/iptables -t nat -A PREROUTING -p udp --dport 137:139 -i %%nom_zone_eth0 -s 0/0 -d 0/0 -j DNAT --to-destination 192.168.220.11 > /sbin/iptables -t filter -A ext-dmz -p udp -i %%nom_zone_eth0 -o %%nom_zone_eth3 -s 0/0 -d 192.168.220.11 -j ACCEPT
Merci à toi Karim !
Pour information, je viens de créer un scénario : #12437
#9 Mis à jour par Karim Ayari il y a plus de 8 ans
arfff effectivement ! je ne regardais pas la bonne chaine.. :/
par contre je confirme qu'il y a bien un problème avec le numéro de port qui n'est pas spécifié ;)
-A ext-dmz -d 192.168.220.11/32 -i eth0 -o eth3 -p udp -j ACCEPT
#10 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tâche parente
#12437supprimé
#11 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tracker changé de Tâche à Anomalie
- Statut changé de Accepté à En cours
#12 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Tracker changé de Anomalie à Tâche
- Tâche parente mis à #12437
#13 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Statut changé de En cours à Fermé
- Restant à faire (heures) changé de 1.0 à 0.0
#14 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- % réalisé changé de 20 à 100