Tâche #15832
Mis à jour par Daniel Dehennin il y a environ 8 ans
Soucis trouvé sur eSBL 2.5.2 : le mode forteresse n'autorise pas le trafic ESTABLISHED ou RELATED sur les eth si le ssh n'est pas autorisé.
Daniel propose le patch suivant, qui corrige le soucis sur eSBL :
<pre>
<code class="diff">
--- distrib/forteresse.sh 2016-04-04 11:04:06.000000000 +0200
+++ modif/forteresse.sh 2016-04-11 17:19:52.054607616 +0200
@@ -87,9 +87,9 @@
µµµµµµµµµµ Get netmask attribute
%set %%res_mask = %%getattr(%%res_ssh,%%mask_attribute_name)
/sbin/iptables -A INPUT -i %%interface_name -p tcp --syn -s %%res_ssh/%%res_mask --dport ssh -m state --state NEW -j ACCEPT
- /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
%end for
%end if
+ /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
%end if
fi
%end for
</code>
</pre>
Daniel propose le patch suivant, qui corrige le soucis sur eSBL :
<pre>
<code class="diff">
--- distrib/forteresse.sh 2016-04-04 11:04:06.000000000 +0200
+++ modif/forteresse.sh 2016-04-11 17:19:52.054607616 +0200
@@ -87,9 +87,9 @@
µµµµµµµµµµ Get netmask attribute
%set %%res_mask = %%getattr(%%res_ssh,%%mask_attribute_name)
/sbin/iptables -A INPUT -i %%interface_name -p tcp --syn -s %%res_ssh/%%res_mask --dport ssh -m state --state NEW -j ACCEPT
- /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
%end for
%end if
+ /sbin/iptables -A INPUT -i %%interface_name -m state --state ESTABLISHED,RELATED -j ACCEPT
%end if
fi
%end for
</code>
</pre>