Scénario #32487: Amon 2.8.1 : impossible de se connecter en HTTP à scribe sans proxy depuis la zone pédagogique - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Scénario #32487

Amon 2.8.1 : impossible de se connecter en HTTP à scribe sans proxy depuis la zone pédagogique

Added by Daniel Dehennin over 2 years ago. Updated over 2 years ago.

Status:

Terminé (Sprint)

Priority:

Normal

Assigned To:

Daniel Dehennin

Category:

Target version:

sprint 2021 20-22 Equipe MENSR

Start date:

05/17/2021

Due date:

06/04/2021

% Done:

100%

Story points:

Remaining (hours):

0.00 hour

Velocity based estimate:

Release:

EOLE 2.8.1

Release relationship:

Auto

Description

Problème¶

Sur un poste client de la zone pédagogique, il n’est pas possible de télécharger l’outil installMinion sans déclarer le proxy :

pour GNU/Linux : http://salt/joineole/installMinion.sh
pour Windows : http://salt/joineole/installMinion.exe

Étude¶

En comparant entre un Amon 2.7.2 qui fonctionne et un Amon 2.8.1 qui pose problème :

Il n’y a pas de différence iptables

Il y a une différence au niveau des ipsets, l’adresse IP du Scribe ne fait plus partie des exceptions de redirection des flux HTTP sans proxy (era:source:era/templates/subtmpl/abstract/pedago.xml@2b5871b#L72)

--- ipset-2.7.2.txt    2021-05-11 15:53:20.437072363 +0200
+++ ipset-2.8.1.txt    2021-05-11 15:52:13.949328343 +0200
@@ -1,14 +1,14 @@
 create bastion-adm-ext-5-dst hash:net family inet hashsize 1024 maxelem 65536
 add bastion-adm-ext-5-dst 192.168.230.120
-add bastion-adm-ext-5-dst 192.168.230.122
 add bastion-adm-ext-5-dst 192.168.230.121
+add bastion-adm-ext-5-dst 192.168.230.122
 add bastion-adm-ext-5-dst 194.167.18.22
 create bastion-adm-ext-5-src hash:net family inet hashsize 1024 maxelem 65536
 create bastion-adm-ext-6-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-adm-ext-6-dst 192.168.230.121
 add bastion-adm-ext-6-dst 192.168.230.120
-add bastion-adm-ext-6-dst 194.167.18.22
+add bastion-adm-ext-6-dst 192.168.230.121
 add bastion-adm-ext-6-dst 192.168.230.122
+add bastion-adm-ext-6-dst 194.167.18.22
 create bastion-adm-ext-6-src hash:net family inet hashsize 1024 maxelem 65536
 create bastion-adm-ext-7-dst hash:net family inet hashsize 1024 maxelem 65536
 add bastion-adm-ext-7-dst 192.168.230.120
@@ -29,19 +29,16 @@
 add bastion-ped-ext-7-dst 2.2.0.0/16
 add bastion-ped-ext-7-dst 91.121.31.35
 add bastion-ped-ext-7-dst 93.184.221.120
-add bastion-ped-ext-7-dst 10.1.3.5
 create bastion-ped-ext-7-src hash:net family inet hashsize 1024 maxelem 65536
 create bastion-ped-ext-8-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-8-dst 91.121.31.35
-add bastion-ped-ext-8-dst 10.1.3.5
 add bastion-ped-ext-8-dst 2.2.0.0/16
+add bastion-ped-ext-8-dst 91.121.31.35
 add bastion-ped-ext-8-dst 93.184.221.120
 create bastion-ped-ext-8-src hash:net family inet hashsize 1024 maxelem 65536
 create bastion-ped-ext-9-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-9-dst 93.184.221.120
-add bastion-ped-ext-9-dst 91.121.31.35
 add bastion-ped-ext-9-dst 2.2.0.0/16
-add bastion-ped-ext-9-dst 10.1.3.5
+add bastion-ped-ext-9-dst 91.121.31.35
+add bastion-ped-ext-9-dst 93.184.221.120
 create bastion-ped-ext-9-src hash:net family inet hashsize 1024 maxelem 65536
 create group-web_services bitmap:port range 0-65000
 add group-web_services 3128

En regardant le XML de déclaration de la règle, l’exclusion de Scribe est déclaré par la variable proxy_bypass_domain_eth2 :

root@amon:~# CreoleGet proxy_bypass_domain_eth2 
www.ac-dijon.fr
www.anglaisfacile.com
scribe.etb1.lan

Seulement, le nom scribe.etb1.lan n’existe plus du fait d’un effet de bord de la délégation de zone inverse (#30426) :

root@amon:~# dig scribe.etb1.lan +short
root@amon:~#

Le soucis vient de h2n qui ne prend pas en compte les entrées DNS si le réseau associé à son IP n’est pas passé en option -n IP:MASK.

Solution¶

Laisser h2n gérer tous les réseaux
Supprimer la configuration de déclaration de zone pour les zones inverses déléguées afin de ne pas entrer en conflit avec les déclaration /etc/bind/forward.zones.

Subtasks

Related issues

Associated revisions

Revision d732a016 (diff)
Added by Daniel Dehennin over 2 years ago

Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”

With in-addr.arpa forward, the entry in /etc/hosts for scribe.etb1.lan
is not reflected any more in the “etb1.lan” zone.

Ref: #32487

Revision 4d540631 (diff)
Added by Daniel Dehennin over 2 years ago

Scribe DMZ: keep “scribe.etb1.lan” as a reference name for ipsets

Revert "Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”"

This reverts commit d732a0160c37c2f5f8064a76619de50499b55b75.

History

#1 Updated by Daniel Dehennin over 2 years ago

Related to Scénario #30426: Exclure les zones déclarées dans nom_zone_forward du fichier local.zones added

#2 Updated by Daniel Dehennin over 2 years ago

Related to Scénario #32499: installMinion : exclure les accès http://salt du proxy added

#3 Updated by Daniel Dehennin over 2 years ago

Description updated (diff)

#4 Updated by Gilles Grandgérard over 2 years ago

Parent task deleted (~~#32104~~)

#5 Updated by Gilles Grandgérard over 2 years ago

Tracker changed from Tâche to Scénario
Due date set to 06/04/2021
Target version changed from sprint 2021 17-19 Equipe MENSR to sprint 2021 20-22 Equipe MENSR

#6 Updated by Daniel Dehennin over 2 years ago

Assigned To set to Daniel Dehennin
Release set to EOLE 2.8.1

#7 Updated by Daniel Dehennin over 2 years ago

Description updated (diff)

#8 Updated by Daniel Dehennin over 2 years ago

Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF

	Related to Distribution EOLE - Scénario #30426: Exclure les zones déclarées dans nom_zone_forward du fichier local.zones	Terminé (Sprint)	04/26/2021	05/14/2021
	Related to Distribution EOLE - Scénario #32499: installMinion : exclure les accès http://salt du proxy	Terminé (Sprint)	04/22/2021	06/04/2021

Project

General

Profile

Distribution EOLE

Issues

Custom queries