Tâche #12453
Mis à jour par Daniel Dehennin il y a presque 9 ans
je souhaite est-il possible de créer une exception règle à partir d'une creolevar contenant d'un nom DNS avec ERA ?
quand on saisi un nom de domaine, notamment dns dans une règle iptables, le système résout le nom et crée les règles en fonction du résultat,
à priori ERA ne sait pas le faire :
root@plateforme:/usr/share/era/ipsets# root@plateforme:/usr/share/era/modeles# CreoleGet passerelle_smtp
smtp.ac-lyon.fr
root@plateforme:/usr/share/era/ipsets#
dans mon dictionnaire passerelle_smtp est de type *domain*
je crée mon exception et quand je relance bastion, il répond root@plateforme:/usr/share/era/modeles#
résultat :
Réseau Virtuel Privé Non Configuré
Regénération des règles de pare-feu (modèle "4z24_1")ipset v6.11: Syntax error: cannot resolve 'smtp.ac' to an IPv4 address: Name or service not known Temporary failure in name resolution
Syntax error: cannot parse smtp.ac: resolving to IPv4 address failed
ipset v6.11: Syntax error: cannot resolve 'smtp.ac' to an IPv4 address: Name Bad argument `ACCEPT'
Try `iptables -h' or service not known 'iptables --help' for more information.
Syntax error: cannot parse smtp.ac: resolving to IPv4 address failed
le contenu des scripts ipset :
ipset create bastion-dmz-exterieur-11-dst hash:net Bad argument `ACCEPT'
ipset add bastion-dmz-exterieur-11-dst smtp.ac-lyon.fr Try `iptables -h' or 'iptables --help' for more information.
afin de comprendre qui me renvoie ce message, j'ai commenté la partie qui lance les scripts ipset dans lance.firewall. Ce qui m'a permis de comprendre que c'est ipset qui n'est pas content, je peux avoir le même message quand je lance le script à pose simplement la main.
à un moment dans tous mes tests je me suis aperçu que dans le script ipset, le nom de domaine était encadré de [ ]... je croyais à un bug, j'ai reparcouru ma conf, reconfiguré et depuis je n'ai plus ces crochets...
en ajoutant les crochets à la main, il n'y a plus aucune erreur, il fait la résolution de nom sur le nom complet.
vu dans le manpage :
_If host names or service names with dash in the name are used instead of IP addresses or service numbers, then the host name or service name must be enclosed in square brackets. Example:
ipset add foo [test-hostname],[ftp-data]_
j'ai fait beaucoup de tests, alors si vous arrivez à reproduire et confirmer que c'est un bug je serais content ! question :) merci.
quand on saisi un nom de domaine, notamment dns dans une règle iptables, le système résout le nom et crée les règles en fonction du résultat,
à priori ERA ne sait pas le faire :
root@plateforme:/usr/share/era/ipsets# root@plateforme:/usr/share/era/modeles# CreoleGet passerelle_smtp
smtp.ac-lyon.fr
root@plateforme:/usr/share/era/ipsets#
dans mon dictionnaire passerelle_smtp est de type *domain*
je crée mon exception et quand je relance bastion, il répond root@plateforme:/usr/share/era/modeles#
résultat :
Réseau Virtuel Privé Non Configuré
Regénération des règles de pare-feu (modèle "4z24_1")ipset v6.11: Syntax error: cannot resolve 'smtp.ac' to an IPv4 address: Name or service not known Temporary failure in name resolution
Syntax error: cannot parse smtp.ac: resolving to IPv4 address failed
ipset v6.11: Syntax error: cannot resolve 'smtp.ac' to an IPv4 address: Name Bad argument `ACCEPT'
Try `iptables -h' or service not known 'iptables --help' for more information.
Syntax error: cannot parse smtp.ac: resolving to IPv4 address failed
le contenu des scripts ipset :
ipset create bastion-dmz-exterieur-11-dst hash:net Bad argument `ACCEPT'
ipset add bastion-dmz-exterieur-11-dst smtp.ac-lyon.fr Try `iptables -h' or 'iptables --help' for more information.
afin de comprendre qui me renvoie ce message, j'ai commenté la partie qui lance les scripts ipset dans lance.firewall. Ce qui m'a permis de comprendre que c'est ipset qui n'est pas content, je peux avoir le même message quand je lance le script à pose simplement la main.
à un moment dans tous mes tests je me suis aperçu que dans le script ipset, le nom de domaine était encadré de [ ]... je croyais à un bug, j'ai reparcouru ma conf, reconfiguré et depuis je n'ai plus ces crochets...
en ajoutant les crochets à la main, il n'y a plus aucune erreur, il fait la résolution de nom sur le nom complet.
vu dans le manpage :
_If host names or service names with dash in the name are used instead of IP addresses or service numbers, then the host name or service name must be enclosed in square brackets. Example:
ipset add foo [test-hostname],[ftp-data]_
j'ai fait beaucoup de tests, alors si vous arrivez à reproduire et confirmer que c'est un bug je serais content ! question :) merci.