Scénario #32487
Amon 2.8.1 : impossible de se connecter en HTTP à scribe sans proxy depuis la zone pédagogique
100%
Description
Problème¶
Sur un poste client de la zone pédagogique, il n’est pas possible de télécharger l’outil installMinion
sans déclarer le proxy :
- pour GNU/Linux : http://salt/joineole/installMinion.sh
- pour Windows : http://salt/joineole/installMinion.exe
Étude¶
En comparant entre un Amon 2.7.2 qui fonctionne et un Amon 2.8.1 qui pose problème :
- Il n’y a pas de différence
iptables
- Il y a une différence au niveau des
ipsets
, l’adresse IP du Scribe ne fait plus partie des exceptions de redirection des flux HTTP sans proxy (era:source:era/templates/subtmpl/abstract/pedago.xml@2b5871b#L72)--- ipset-2.7.2.txt 2021-05-11 15:53:20.437072363 +0200 +++ ipset-2.8.1.txt 2021-05-11 15:52:13.949328343 +0200 @@ -1,14 +1,14 @@ create bastion-adm-ext-5-dst hash:net family inet hashsize 1024 maxelem 65536 add bastion-adm-ext-5-dst 192.168.230.120 -add bastion-adm-ext-5-dst 192.168.230.122 add bastion-adm-ext-5-dst 192.168.230.121 +add bastion-adm-ext-5-dst 192.168.230.122 add bastion-adm-ext-5-dst 194.167.18.22 create bastion-adm-ext-5-src hash:net family inet hashsize 1024 maxelem 65536 create bastion-adm-ext-6-dst hash:net family inet hashsize 1024 maxelem 65536 -add bastion-adm-ext-6-dst 192.168.230.121 add bastion-adm-ext-6-dst 192.168.230.120 -add bastion-adm-ext-6-dst 194.167.18.22 +add bastion-adm-ext-6-dst 192.168.230.121 add bastion-adm-ext-6-dst 192.168.230.122 +add bastion-adm-ext-6-dst 194.167.18.22 create bastion-adm-ext-6-src hash:net family inet hashsize 1024 maxelem 65536 create bastion-adm-ext-7-dst hash:net family inet hashsize 1024 maxelem 65536 add bastion-adm-ext-7-dst 192.168.230.120 @@ -29,19 +29,16 @@ add bastion-ped-ext-7-dst 2.2.0.0/16 add bastion-ped-ext-7-dst 91.121.31.35 add bastion-ped-ext-7-dst 93.184.221.120 -add bastion-ped-ext-7-dst 10.1.3.5 create bastion-ped-ext-7-src hash:net family inet hashsize 1024 maxelem 65536 create bastion-ped-ext-8-dst hash:net family inet hashsize 1024 maxelem 65536 -add bastion-ped-ext-8-dst 91.121.31.35 -add bastion-ped-ext-8-dst 10.1.3.5 add bastion-ped-ext-8-dst 2.2.0.0/16 +add bastion-ped-ext-8-dst 91.121.31.35 add bastion-ped-ext-8-dst 93.184.221.120 create bastion-ped-ext-8-src hash:net family inet hashsize 1024 maxelem 65536 create bastion-ped-ext-9-dst hash:net family inet hashsize 1024 maxelem 65536 -add bastion-ped-ext-9-dst 93.184.221.120 -add bastion-ped-ext-9-dst 91.121.31.35 add bastion-ped-ext-9-dst 2.2.0.0/16 -add bastion-ped-ext-9-dst 10.1.3.5 +add bastion-ped-ext-9-dst 91.121.31.35 +add bastion-ped-ext-9-dst 93.184.221.120 create bastion-ped-ext-9-src hash:net family inet hashsize 1024 maxelem 65536 create group-web_services bitmap:port range 0-65000 add group-web_services 3128
En regardant le XML de déclaration de la règle, l’exclusion de Scribe est déclaré par la variable proxy_bypass_domain_eth2
:
root@amon:~# CreoleGet proxy_bypass_domain_eth2 www.ac-dijon.fr www.anglaisfacile.com scribe.etb1.lan
Seulement, le nom scribe.etb1.lan
n’existe plus du fait d’un effet de bord de la délégation de zone inverse (#30426) :
root@amon:~# dig scribe.etb1.lan +short root@amon:~#
Le soucis vient de h2n
qui ne prend pas en compte les entrées DNS si le réseau associé à son IP n’est pas passé en option -n IP:MASK
.
Solution¶
- Laisser
h2n
gérer tous les réseaux - Supprimer la configuration de déclaration de zone pour les zones inverses déléguées afin de ne pas entrer en conflit avec les déclaration
/etc/bind/forward.zones
.
Sous-tâches
Demandes liées
Révisions associées
Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”
With in-addr.arpa forward, the entry in /etc/hosts for scribe.etb1.lan
is not reflected any more in the “etb1.lan” zone.
Ref: #32487
Scribe DMZ: keep “scribe.etb1.lan” as a reference name for ipsets
Revert "Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”"
This reverts commit d732a0160c37c2f5f8064a76619de50499b55b75.
Historique
#1 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Lié à Scénario #30426: Exclure les zones déclarées dans nom_zone_forward du fichier local.zones ajouté
#2 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Lié à Scénario #32499: installMinion : exclure les accès http://salt du proxy ajouté
#3 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Description mis à jour (diff)
#4 Mis à jour par Gilles Grandgérard il y a presque 3 ans
- Tâche parente
#32104supprimé
#5 Mis à jour par Gilles Grandgérard il y a presque 3 ans
- Tracker changé de Tâche à Scénario
- Echéance mis à 04/06/2021
- Version cible changé de sprint 2021 17-19 Equipe MENSR à sprint 2021 20-22 Equipe MENSR
#6 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Assigné à mis à Daniel Dehennin
- Release mis à EOLE 2.8.1
#7 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Description mis à jour (diff)
#8 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Statut changé de Nouveau à Terminé (Sprint)