Project

General

Profile

Scénario #32487

Amon 2.8.1 : impossible de se connecter en HTTP à scribe sans proxy depuis la zone pédagogique

Added by Daniel Dehennin about 1 year ago. Updated about 1 year ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
05/17/2021
Due date:
06/04/2021
% Done:

100%

Story points:
-
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Problème

Sur un poste client de la zone pédagogique, il n’est pas possible de télécharger l’outil installMinion sans déclarer le proxy :

Étude

En comparant entre un Amon 2.7.2 qui fonctionne et un Amon 2.8.1 qui pose problème :

  • Il n’y a pas de différence iptables
  • Il y a une différence au niveau des ipsets, l’adresse IP du Scribe ne fait plus partie des exceptions de redirection des flux HTTP sans proxy (era:source:era/templates/subtmpl/abstract/pedago.xml@2b5871b#L72)
    --- ipset-2.7.2.txt    2021-05-11 15:53:20.437072363 +0200
    +++ ipset-2.8.1.txt    2021-05-11 15:52:13.949328343 +0200
    @@ -1,14 +1,14 @@
     create bastion-adm-ext-5-dst hash:net family inet hashsize 1024 maxelem 65536
     add bastion-adm-ext-5-dst 192.168.230.120
    -add bastion-adm-ext-5-dst 192.168.230.122
     add bastion-adm-ext-5-dst 192.168.230.121
    +add bastion-adm-ext-5-dst 192.168.230.122
     add bastion-adm-ext-5-dst 194.167.18.22
     create bastion-adm-ext-5-src hash:net family inet hashsize 1024 maxelem 65536
     create bastion-adm-ext-6-dst hash:net family inet hashsize 1024 maxelem 65536
    -add bastion-adm-ext-6-dst 192.168.230.121
     add bastion-adm-ext-6-dst 192.168.230.120
    -add bastion-adm-ext-6-dst 194.167.18.22
    +add bastion-adm-ext-6-dst 192.168.230.121
     add bastion-adm-ext-6-dst 192.168.230.122
    +add bastion-adm-ext-6-dst 194.167.18.22
     create bastion-adm-ext-6-src hash:net family inet hashsize 1024 maxelem 65536
     create bastion-adm-ext-7-dst hash:net family inet hashsize 1024 maxelem 65536
     add bastion-adm-ext-7-dst 192.168.230.120
    @@ -29,19 +29,16 @@
     add bastion-ped-ext-7-dst 2.2.0.0/16
     add bastion-ped-ext-7-dst 91.121.31.35
     add bastion-ped-ext-7-dst 93.184.221.120
    -add bastion-ped-ext-7-dst 10.1.3.5
     create bastion-ped-ext-7-src hash:net family inet hashsize 1024 maxelem 65536
     create bastion-ped-ext-8-dst hash:net family inet hashsize 1024 maxelem 65536
    -add bastion-ped-ext-8-dst 91.121.31.35
    -add bastion-ped-ext-8-dst 10.1.3.5
     add bastion-ped-ext-8-dst 2.2.0.0/16
    +add bastion-ped-ext-8-dst 91.121.31.35
     add bastion-ped-ext-8-dst 93.184.221.120
     create bastion-ped-ext-8-src hash:net family inet hashsize 1024 maxelem 65536
     create bastion-ped-ext-9-dst hash:net family inet hashsize 1024 maxelem 65536
    -add bastion-ped-ext-9-dst 93.184.221.120
    -add bastion-ped-ext-9-dst 91.121.31.35
     add bastion-ped-ext-9-dst 2.2.0.0/16
    -add bastion-ped-ext-9-dst 10.1.3.5
    +add bastion-ped-ext-9-dst 91.121.31.35
    +add bastion-ped-ext-9-dst 93.184.221.120
     create bastion-ped-ext-9-src hash:net family inet hashsize 1024 maxelem 65536
     create group-web_services bitmap:port range 0-65000
     add group-web_services 3128
    

En regardant le XML de déclaration de la règle, l’exclusion de Scribe est déclaré par la variable proxy_bypass_domain_eth2 :

root@amon:~# CreoleGet proxy_bypass_domain_eth2 
www.ac-dijon.fr
www.anglaisfacile.com
scribe.etb1.lan

Seulement, le nom scribe.etb1.lan n’existe plus du fait d’un effet de bord de la délégation de zone inverse (#30426) :

root@amon:~# dig scribe.etb1.lan +short
root@amon:~# 

Le soucis vient de h2n qui ne prend pas en compte les entrées DNS si le réseau associé à son IP n’est pas passé en option -n IP:MASK.

Solution

  1. Laisser h2n gérer tous les réseaux
  2. Supprimer la configuration de déclaration de zone pour les zones inverses déléguées afin de ne pas entrer en conflit avec les déclaration /etc/bind/forward.zones.

Subtasks

Tâche #32514: Génerer les zones directes pour tous les plans d’adressages et supprimer les zones déléguées à postérioriFerméDaniel Dehennin


Related issues

Related to Distribution EOLE - Scénario #30426: Exclure les zones déclarées dans nom_zone_forward du fichier local.zones Terminé (Sprint) 04/26/2021 05/14/2021
Related to Distribution EOLE - Scénario #32499: installMinion : exclure les accès http://salt du proxy Terminé (Sprint) 04/22/2021 06/04/2021

Associated revisions

Revision d732a016 (diff)
Added by Daniel Dehennin about 1 year ago

Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”

With in-addr.arpa forward, the entry in /etc/hosts for scribe.etb1.lan
is not reflected any more in the “etb1.lan” zone.

Ref: #32487

Revision 4d540631 (diff)
Added by Daniel Dehennin about 1 year ago

Scribe DMZ: keep “scribe.etb1.lan” as a reference name for ipsets

Revert "Scribe DMZ: “scribe.etb1.lan” should be “scribe.dompedago.etb1.lan”"

This reverts commit d732a0160c37c2f5f8064a76619de50499b55b75.

History

#1 Updated by Daniel Dehennin about 1 year ago

  • Related to Scénario #30426: Exclure les zones déclarées dans nom_zone_forward du fichier local.zones added

#2 Updated by Daniel Dehennin about 1 year ago

  • Related to Scénario #32499: installMinion : exclure les accès http://salt du proxy added

#3 Updated by Daniel Dehennin about 1 year ago

  • Description updated (diff)

#4 Updated by Gilles Grandgérard about 1 year ago

  • Parent task deleted (#32104)

#5 Updated by Gilles Grandgérard about 1 year ago

  • Tracker changed from Tâche to Scénario
  • Due date set to 06/04/2021
  • Target version changed from sprint 2021 17-19 Equipe MENSR to sprint 2021 20-22 Equipe MENSR

#6 Updated by Daniel Dehennin about 1 year ago

  • Assigned To set to Daniel Dehennin
  • Release set to EOLE 2.8.1

#7 Updated by Daniel Dehennin about 1 year ago

  • Description updated (diff)

#8 Updated by Daniel Dehennin about 1 year ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF