Project

General

Profile

Anomalie #1379

Amon 2.2 - dansguardian

Added by Thierry Bertrand about 10 years ago. Updated about 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
01/27/2011
Due date:
% Done:

100%

Distribution:

Description

Bonjour,

nous rencontrons un soucis d'accès aux sites ftp non anonymes lorsque les clients utilisent un navigateur :
une url de type ftp://user:mdp@site est transmise par dansguardian à squid sous la forme ftp://site en tronquant la partie user:mdp@ et les connexions ne se font donc pas.
Nous avons reproduit ce "bug" sur plusieurs de nos serveurs en place.

En cherchant une explication, je suis tombé sur la page suivante:
http://tech.groups.yahoo.com/group/dansguardian/message/23013

Serait-il possible d'intégrer cette correction svp ?

Merci
Cordialement

HTTPHeader-modif-by-FTRIF.cpp View (46.1 KB) Thierry Bertrand, 02/17/2011 03:30 PM

2011-03-23-163413_2560x1024_scrot.png View (329 KB) Jerome Soyer, 03/23/2011 04:39 PM

History

#1 Updated by Luc Bourdot about 10 years ago

  • Assigned To set to Jerome Soyer

#2 Updated by Joël Cuissinat about 10 years ago

  • Target version set to Mises à jour 2.2.2 - 07 RC

#3 Updated by Thierry Bertrand about 10 years ago

Bonjour,

pour information, une recompilation, en suivant les modifs indiquées par le lien, répare l'anomalie.

Cordialement

#4 Updated by Jerome Soyer about 10 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

Passé en eole-2.2-proposed pour test

#5 Updated by Thierry Bertrand about 10 years ago

Bonjour,

voici les manipulations effectuées:
téléchargement du paquet http://test-eoleng.ac-dijon.fr/eoleng/eole-2.2-proposed/i386/dansguardian_2.10.1.1-1eole6_i386.deb
dpkg -i dansguardian_2.10.1.1-1eole6_i386.deb
/etc/init.d/dansguardian restart

Malheureusement, le problème demeure.

Cordialement

#6 Updated by Samuel LEFOL about 10 years ago

Je viens également de tester et je confirme que ça ne fonctionne pas.
On dirait que c'est pire. Test effectué en téléchargeant un logiciel sur le site de clubic. On peut sélectionner un autre serveur.

Avec le paquet précédent, dans la liste des liens, on avait :
ftp://e95d4d5cb9f6b15c928ee07b3daea44f:1297955630@ftpclubic22.clubic.com/logiciel/screenmarker_screenmarker_1.0.0.1_portable_anglais_371504.exe

Avec le nouveau paquet, dans la liste des liens, on a maintenant :
ftp://ftpclubic22.clubic.com/logiciel/screenmarker_screenmarker_1.0.0.1_portable_anglais_371504.exe

On dirait que dansguardian supprime la partie 'user:password@'.
Mais même en indiquant l'url complète dans la barre d'adresse du navigateur, ça ne fonctionne pas.

#7 Updated by Samuel LEFOL about 10 years ago

Remarque : firefox ne supprime pas la partie 'user:password@' mais ne fonctionne pas non plus.

#8 Updated by Thierry Bertrand about 10 years ago

Bonjour,

si ça peut aider, de notre coté on a recompilé à la "sauvage" le produit et le binaire généré est de taille différente.
Dans le nouveau paquet, il est de même taille que l'ancienne.
Après je ne sais pas si les options utilisées chez nous reprennent celles initiales...

Je mets le source que la personne a modifié au cas où.

Par rapport aux remarques de Samuel, on teste aussi de notre coté sur clubic et sur un site Ministère. Ce sont ces symptômes là.

Cordialement

#9 Updated by Jerome Soyer about 10 years ago

Bonjour,

Je viens de refaire un paquet eole7 qui a bien le patch 11 prévu pour fixer ce bug.

Merci de me remonter si problème il y a.

Bien Cordialement.

#10 Updated by Samuel LEFOL about 10 years ago

Merci pour ce nouveau paquet mais ça ne fonctionne toujours pas.
On a exactement les mêmes symptômes qu'avec le paquet précédent.
(j'ai fait un dpkg -i dans... suivi d'un reconfigure)

#11 Updated by Jerome Soyer about 10 years ago

Etes vous sur du patch que vous m'avez fourni ? Car j'applique exactement le même que celui spécifié plus haut...

#12 Updated by Samuel LEFOL about 10 years ago

Je viens de réessayer en tapant directement dans la barre d'adresse une url du type ftp://user:pass@serveur_ftp

- Internet Explorer (v.7) comme firefox renvoient un message d'erreur transmis par Squid :
Une erreur d'authentification sur un FTP a eu lieu. En tentant de charger l'URL: ftp://serveur_ftp/
Squid a envoyé la commande FTP suivante:
PASS <yourpassword>et a recu en réponse
l'authentification a echouee

(ps: ce n'est pas moi qui est transmis le patch correctif mais je reste très intéressé par la résolution de ce problème).

#13 Updated by Jerome Soyer about 10 years ago

root@pf-amon:~# curl -v -l ftp://eoleng.ac-dijon.fr --user eole:XXXXXXXXXXXXXXXXXXXXXXXXX
  • About to connect() to proxy 10.21.11.1 port 3128 (#0)
  • Trying 10.21.11.1... connected
  • Connected to 10.21.11.1 (10.21.11.1) port 3128 (#0)
  • Server auth using Basic with user 'eole'

GET ftp://eoleng.ac-dijon.fr HTTP/1.1
Authorization: Basic XXXXXXXXXXXXXXXXXXXXXXXXXXX
User-Agent: curl/7.18.0 (i486-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1
Host: eoleng.ac-dijon.fr:21
Pragma: no-cache
Accept: */*
Proxy-Connection: Keep-Alive

Après test, aucun soucis ici, je laisse le bug en résolu.

#14 Updated by Samuel LEFOL about 10 years ago

Effectivement avec curl ça fonctionne mais dans un cas réel (c'est-à-dire avec l'utilisation d'un navigateur Internet),
ça ne fonctionne pas.

Donc le problème n'est pas résolu.

#15 Updated by Samuel LEFOL about 10 years ago

Ce problème n'est toujours pas résolu.
Et de plus en plus d'établissements sont bloqués !

L'exécutable fournit sur la liste
(voir [Amon-Sphynx] bug dansguardian du 16/03/2011 11:15)
corrige le problème mais nécessite une adaptation pour AmonNG
(message d'erreur au lancement "Error opening /root/TEST/etc/dansguardian/dansguardian.conf ")

Merci de faire le nécessaire au plus vite pour corriger ce problème.

#16 Updated by Jerome Soyer about 10 years ago

La solution n'est pas de prendre l'éxécutable compilé sur la liste puisque celui-ci ne dispose pas des options de compilation nécessaires aux filtrages syntaxiques. Cependant, si vous le souhaitez vous pouvez tester et corriger rapidement le problème en utilisant les options suivantes :

CXXFLAGS="-O0 -ggdb" CFLAGS="-O0 -ggdb -g" ./configure \
--with-proxyuser=proxy \
--with-proxygroup=proxy \
--prefix=/usr \
--exec_prefix=/usr \
--mandir=\$${prefix}/share/man \
--infodir=\$${prefix}/share/info \
--libexecdir=\$${prefix}/lib/dansguardian \
--sysconfdir=/etc \
--localstatedir=/var \
--with-logdir=/var/log/dansguardian \
--enable-ntlm=yes \
--enable-clamd=yes \
--enable-icap=yes \
--enable-pcre \
--enable-segv-backtrace

Comme vous, je suis bloqué sur la résolution de ce problème et peut être qu'une aide ou un avis de votre part pourra m'aider.

Bien Cordialement.

#17 Updated by Jerome Soyer about 10 years ago

Un nouveau paquet a été refait en version proposed, avec le patch appliqué (j'ai vérifié trois fois) et cette version marche très bien après plusieurs tests !

#18 Updated by Samuel LEFOL about 10 years ago

Lorsque je disais de mettre l'exécutable sur Amon, je voulais dire prendre contact avec la personne qui a compilé cet exécutable pour voir la différence avec celui actuellement en plcae sur la distribution.

Merci pour les options de compilation mais je ne dispose pas d'une machine de développeur.
(voir peut-être avec la personne qui a mis l'exécutable sur la liste)

Comme je suis simple utilisateur, il me reste la possibilité de tester.
Ce que je viens de faire et ça ne fonctionne pas !
Je ne sais pas comment vous avez testé mais si vous essayer d'accéder à l'url ftp://unss55-anonftp:1to385ij@unss55.yellis.net/programmes/athle_estival/install_athle_estival.exe dans un navigateur Internet, ça ne fonctionne pas.

Je rappelle que ça fonctionne avec la version binaire qui a été distribuée sur la liste.

#19 Updated by Jerome Soyer about 10 years ago

Je viens de tester avec votre lien et pour moi aucun problème, le fichier de 16.7 mo se télécharge bien.

Etes vous sur d'utiliser la dernière version proposé en candidat ? N'avez vous pas une configuration particulière ou un cache père ou même un patch ?

Je vous fournis même une capture d'écran pour preuve. Thierry Bertrand pourra vous confirmer qu'il s'agit bien du site ftp de test qu'il m'a donné.

#20 Updated by Samuel LEFOL about 10 years ago

Oui, je suis bien en version candidate (dansguardian 2.10.1.1-1eole7).
Je n'ai pas de proxy père ni de patch.
(je viens de ré-essayer même en redémarrant le serveur).

Ce qui est étrange, c'est que ça fonctionne avec le binaire distribué sur la liste.
Juste pour voir, pouvez-vous me fournir le binaire de dasnguardian que vous avez utilisé pour vos tests. Je ferai l'essai et je vais comparer les md5.

Pouvez-vous également me donner le mot de passe associé au login ftp://test-eole@80.14.207.96.

Merci.

#21 Updated by Samuel LEFOL about 10 years ago

Je viens de faire une mise à jour candidate à l'instant et il y a 2 nouveaux paquets :
dansguardian 2.10.1.1-1eole8
conf-amon 2.2-eole219~4.gbpf37755

et cette fois, ça fonctionne !

Reste le problème avec IE (testé sous IE7) avec un nom d'utilisateur contenant le caractère ''.
La règle est : Pour utiliser un nom d'utilisateur contenant le caractère '
', il faut l'écrire avec son code ASCII, c'est-à-dire '%40'. Par exemple : devient toto%40ac-nancy-metz.fr.
ce qui donne : ftp://toto%40ac-nancy-metz.fr:password@serveurftp.fr.
(fonctionne bien avec Firefox. Je ferai le test avec IE8 et IE9)

Merci.

#22 Updated by Samuel LEFOL about 10 years ago

Je confirme que les urls avec nom d'utilisateur contenant @ ne fonctionne pas sous IE8.
(IE9 pas testé car ma machine de test en sous XP)

#23 Updated by Joël Cuissinat about 10 years ago

  • Status changed from Résolu to Fermé

Le paquet "dansguardian 2.10.1.1-1eole8" étant OK avec firefox, c'est un bon début.

Si nécessaire, ouvrir un nouveau signalement pour IE ;)

#24 Updated by Frank TRIFILETTI about 10 years ago

Bonjour,

c'est moi qui avait recompilé le binaire, et je l'avais fait passer par T.Bertrand qui travaille avec moi au PNE reseaux du MEDDTL.

pour IE la requête n'arrive même pas dans le proxy, pas de trace dans l'access log de squid et dansguardian
avec une url ftp://toto@ac-nancy-metz.fr:password@serveurftp.fr/

par contre on voit des choses dans les logs avec ftp://toto-ac-nancy-metz.fr:password@serveurftp.fr/ par ex

c'est un bug microsoft (cf http://support.microsoft.com/kb/260156/fr) avec les caractères spéciaux (voir 2 ème réponse dans la page)

Il faudra donc utiliser Firefox pour de tel site avec de tel login

Also available in: Atom PDF