Anomalie #1379
Amon 2.2 - dansguardian
100%
Description
Bonjour,
nous rencontrons un soucis d'accès aux sites ftp non anonymes lorsque les clients utilisent un navigateur :
une url de type ftp://user:mdp@site est transmise par dansguardian à squid sous la forme ftp://site en tronquant la partie user:mdp@ et les connexions ne se font donc pas.
Nous avons reproduit ce "bug" sur plusieurs de nos serveurs en place.
En cherchant une explication, je suis tombé sur la page suivante:
http://tech.groups.yahoo.com/group/dansguardian/message/23013
Serait-il possible d'intégrer cette correction svp ?
Merci
Cordialement
Historique
#1 Mis à jour par Luc Bourdot il y a environ 13 ans
- Assigné à mis à Jerome Soyer
#2 Mis à jour par Joël Cuissinat il y a environ 13 ans
- Version cible mis à Mises à jour 2.2.2 - 07 RC
#3 Mis à jour par Thierry Bertrand il y a environ 13 ans
Bonjour,
pour information, une recompilation, en suivant les modifs indiquées par le lien, répare l'anomalie.
Cordialement
#4 Mis à jour par Jerome Soyer il y a environ 13 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Passé en eole-2.2-proposed pour test
#5 Mis à jour par Thierry Bertrand il y a environ 13 ans
Bonjour,
voici les manipulations effectuées:
téléchargement du paquet http://test-eoleng.ac-dijon.fr/eoleng/eole-2.2-proposed/i386/dansguardian_2.10.1.1-1eole6_i386.deb
dpkg -i dansguardian_2.10.1.1-1eole6_i386.deb
/etc/init.d/dansguardian restart
Malheureusement, le problème demeure.
Cordialement
#6 Mis à jour par Samuel LEFOL il y a environ 13 ans
Je viens également de tester et je confirme que ça ne fonctionne pas.
On dirait que c'est pire. Test effectué en téléchargeant un logiciel sur le site de clubic. On peut sélectionner un autre serveur.
Avec le paquet précédent, dans la liste des liens, on avait :
ftp://e95d4d5cb9f6b15c928ee07b3daea44f:1297955630@ftpclubic22.clubic.com/logiciel/screenmarker_screenmarker_1.0.0.1_portable_anglais_371504.exe
Avec le nouveau paquet, dans la liste des liens, on a maintenant :
ftp://ftpclubic22.clubic.com/logiciel/screenmarker_screenmarker_1.0.0.1_portable_anglais_371504.exe
On dirait que dansguardian supprime la partie 'user:password@'.
Mais même en indiquant l'url complète dans la barre d'adresse du navigateur, ça ne fonctionne pas.
#7 Mis à jour par Samuel LEFOL il y a environ 13 ans
Remarque : firefox ne supprime pas la partie 'user:password@' mais ne fonctionne pas non plus.
#8 Mis à jour par Thierry Bertrand il y a environ 13 ans
- Fichier HTTPHeader-modif-by-FTRIF.cpp Voir ajouté
Bonjour,
si ça peut aider, de notre coté on a recompilé à la "sauvage" le produit et le binaire généré est de taille différente.
Dans le nouveau paquet, il est de même taille que l'ancienne.
Après je ne sais pas si les options utilisées chez nous reprennent celles initiales...
Je mets le source que la personne a modifié au cas où.
Par rapport aux remarques de Samuel, on teste aussi de notre coté sur clubic et sur un site Ministère. Ce sont ces symptômes là.
Cordialement
#9 Mis à jour par Jerome Soyer il y a environ 13 ans
Bonjour,
Je viens de refaire un paquet eole7 qui a bien le patch 11 prévu pour fixer ce bug.
Merci de me remonter si problème il y a.
Bien Cordialement.
#10 Mis à jour par Samuel LEFOL il y a environ 13 ans
Merci pour ce nouveau paquet mais ça ne fonctionne toujours pas.
On a exactement les mêmes symptômes qu'avec le paquet précédent.
(j'ai fait un dpkg -i dans... suivi d'un reconfigure)
#11 Mis à jour par Jerome Soyer il y a environ 13 ans
Etes vous sur du patch que vous m'avez fourni ? Car j'applique exactement le même que celui spécifié plus haut...
#12 Mis à jour par Samuel LEFOL il y a environ 13 ans
Je viens de réessayer en tapant directement dans la barre d'adresse une url du type ftp://user:pass@serveur_ftp
- Internet Explorer (v.7) comme firefox renvoient un message d'erreur transmis par Squid :
Une erreur d'authentification sur un FTP a eu lieu. En tentant de charger l'URL: ftp://serveur_ftp/
Squid a envoyé la commande FTP suivante:
PASS <yourpassword>et a recu en réponse
l'authentification a echouee
(ps: ce n'est pas moi qui est transmis le patch correctif mais je reste très intéressé par la résolution de ce problème).
#13 Mis à jour par Jerome Soyer il y a environ 13 ans
- About to connect() to proxy 10.21.11.1 port 3128 (#0)
- Trying 10.21.11.1... connected
- Connected to 10.21.11.1 (10.21.11.1) port 3128 (#0)
- Server auth using Basic with user 'eole'
GET ftp://eoleng.ac-dijon.fr HTTP/1.1
Authorization: Basic XXXXXXXXXXXXXXXXXXXXXXXXXXX
User-Agent: curl/7.18.0 (i486-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1
Host: eoleng.ac-dijon.fr:21
Pragma: no-cache
Accept: */*
Proxy-Connection: Keep-Alive
Après test, aucun soucis ici, je laisse le bug en résolu.
#14 Mis à jour par Samuel LEFOL il y a environ 13 ans
Effectivement avec curl ça fonctionne mais dans un cas réel (c'est-à-dire avec l'utilisation d'un navigateur Internet),
ça ne fonctionne pas.
Donc le problème n'est pas résolu.
#15 Mis à jour par Samuel LEFOL il y a environ 13 ans
Ce problème n'est toujours pas résolu.
Et de plus en plus d'établissements sont bloqués !
L'exécutable fournit sur la liste amon-sphynx@listeseole.ac-dijon.fr
(voir [Amon-Sphynx] bug dansguardian du 16/03/2011 11:15)
corrige le problème mais nécessite une adaptation pour AmonNG
(message d'erreur au lancement "Error opening /root/TEST/etc/dansguardian/dansguardian.conf ")
Merci de faire le nécessaire au plus vite pour corriger ce problème.
#16 Mis à jour par Jerome Soyer il y a environ 13 ans
La solution n'est pas de prendre l'éxécutable compilé sur la liste puisque celui-ci ne dispose pas des options de compilation nécessaires aux filtrages syntaxiques. Cependant, si vous le souhaitez vous pouvez tester et corriger rapidement le problème en utilisant les options suivantes :
CXXFLAGS="-O0 -ggdb" CFLAGS="-O0 -ggdb -g" ./configure \
--with-proxyuser=proxy \
--with-proxygroup=proxy \
--prefix=/usr \
--exec_prefix=/usr \
--mandir=\$${prefix}/share/man \
--infodir=\$${prefix}/share/info \
--libexecdir=\$${prefix}/lib/dansguardian \
--sysconfdir=/etc \
--localstatedir=/var \
--with-logdir=/var/log/dansguardian \
--enable-ntlm=yes \
--enable-clamd=yes \
--enable-icap=yes \
--enable-pcre \
--enable-segv-backtrace
Comme vous, je suis bloqué sur la résolution de ce problème et peut être qu'une aide ou un avis de votre part pourra m'aider.
Bien Cordialement.
#17 Mis à jour par Jerome Soyer il y a environ 13 ans
Un nouveau paquet a été refait en version proposed, avec le patch appliqué (j'ai vérifié trois fois) et cette version marche très bien après plusieurs tests !
#18 Mis à jour par Samuel LEFOL il y a environ 13 ans
Lorsque je disais de mettre l'exécutable sur Amon, je voulais dire prendre contact avec la personne qui a compilé cet exécutable pour voir la différence avec celui actuellement en plcae sur la distribution.
Merci pour les options de compilation mais je ne dispose pas d'une machine de développeur.
(voir peut-être avec la personne qui a mis l'exécutable sur la liste)
Comme je suis simple utilisateur, il me reste la possibilité de tester.
Ce que je viens de faire et ça ne fonctionne pas !
Je ne sais pas comment vous avez testé mais si vous essayer d'accéder à l'url ftp://unss55-anonftp:1to385ij@unss55.yellis.net/programmes/athle_estival/install_athle_estival.exe dans un navigateur Internet, ça ne fonctionne pas.
Je rappelle que ça fonctionne avec la version binaire qui a été distribuée sur la liste.
#19 Mis à jour par Jerome Soyer il y a environ 13 ans
- Fichier 2011-03-23-163413_2560x1024_scrot.png Voir ajouté
Je viens de tester avec votre lien et pour moi aucun problème, le fichier de 16.7 mo se télécharge bien.
Etes vous sur d'utiliser la dernière version proposé en candidat ? N'avez vous pas une configuration particulière ou un cache père ou même un patch ?
Je vous fournis même une capture d'écran pour preuve. Thierry Bertrand pourra vous confirmer qu'il s'agit bien du site ftp de test qu'il m'a donné.
#20 Mis à jour par Samuel LEFOL il y a environ 13 ans
Oui, je suis bien en version candidate (dansguardian 2.10.1.1-1eole7).
Je n'ai pas de proxy père ni de patch.
(je viens de ré-essayer même en redémarrant le serveur).
Ce qui est étrange, c'est que ça fonctionne avec le binaire distribué sur la liste.
Juste pour voir, pouvez-vous me fournir le binaire de dasnguardian que vous avez utilisé pour vos tests. Je ferai l'essai et je vais comparer les md5.
Pouvez-vous également me donner le mot de passe associé au login ftp://test-eole@80.14.207.96.
Merci.
#21 Mis à jour par Samuel LEFOL il y a environ 13 ans
Je viens de faire une mise à jour candidate à l'instant et il y a 2 nouveaux paquets :
dansguardian 2.10.1.1-1eole8
conf-amon 2.2-eole219~4.gbpf37755
et cette fois, ça fonctionne !
Reste le problème avec IE (testé sous IE7) avec un nom d'utilisateur contenant le caractère ''.
', il faut l'écrire avec son code ASCII, c'est-à-dire '%40'. Par exemple : toto@ac-nancy-metz.fr devient toto%40ac-nancy-metz.fr.
La règle est : Pour utiliser un nom d'utilisateur contenant le caractère '
ce qui donne : ftp://toto%40ac-nancy-metz.fr:password@serveurftp.fr.
(fonctionne bien avec Firefox. Je ferai le test avec IE8 et IE9)
Merci.
#22 Mis à jour par Samuel LEFOL il y a environ 13 ans
Je confirme que les urls avec nom d'utilisateur contenant @ ne fonctionne pas sous IE8.
(IE9 pas testé car ma machine de test en sous XP)
#23 Mis à jour par Joël Cuissinat il y a environ 13 ans
- Statut changé de Résolu à Fermé
Le paquet "dansguardian 2.10.1.1-1eole8" étant OK avec firefox, c'est un bon début.
Si nécessaire, ouvrir un nouveau signalement pour IE ;)
#24 Mis à jour par Frank TRIFILETTI il y a environ 13 ans
Bonjour,
c'est moi qui avait recompilé le binaire, et je l'avais fait passer par T.Bertrand qui travaille avec moi au PNE reseaux du MEDDTL.
pour IE la requête n'arrive même pas dans le proxy, pas de trace dans l'access log de squid et dansguardian
avec une url ftp://toto@ac-nancy-metz.fr:password@serveurftp.fr/
par contre on voit des choses dans les logs avec ftp://toto-ac-nancy-metz.fr:password@serveurftp.fr/ par ex
c'est un bug microsoft (cf http://support.microsoft.com/kb/260156/fr) avec les caractères spéciaux (voir 2 ème réponse dans la page)
Il faudra donc utiliser Firefox pour de tel site avec de tel login