Tâche #4679
LightSquid - Scénario #8831: Pouvoir consulter les statistiques Lightsquid sur les adresses réseau internes de l'Amon
problème de consultation de stats lightsquid
Description
Bonjour,
lorsqu'on se connecte à l'ead d'un amon via eth1 dans le but d'afficher les stats proxy, on obtient systématiquement une page vide.
Le script d'alimentation /usr/share/lightsquid/lightparser.pl fait pourtant bien son travail et les répertoires cibles sont peuplés.
En regardant plus en détail le code source html de la page ead correspondante, on se rend compte que l'url cible pointe sur eth0 :
Par exemple, http://192.168.254.254:8062/index.cgi
Serait-il possible de pouvoir faire pointer l'accès des stats sur une eth de notre choix et pas forcément que eth0 ?
J'ai tenté de corriger le problème en faisant les manipulations de test suivantes :
modification du fichier /usr/share/ead2/backend/actions/lightsquid.py en remplaçant
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth0'], str(LIGHTSQUID_PORT))
par
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth1'], str(LIGHTSQUID_PORT))
redémarrage des services ead
=> pas mieux
Même modif + modification de /usr/share/ead2/config/config.py :
ip_locale = dico['adresse_ip_eth0']
par
ip_locale = dico['adresse_ip_eth1']
=> pas mieux non plus
Les 2 mêmes modifs en utilisant '127.0.0.1'
=> pas mieux
J'ai vérifié que les règles .fw pour l'ead étaient correctes sur le 8062, ce qui semble le cas.
Cordialement
Demandes liées
Révisions associées
récupérer le nom de domaine de la fenêtre courante pour ouvrir la popup lightsquid (ref #4679 @3h)
ajout de lightsquid dans le groupe "admin_amon" (ref #4679)
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 11 ans
- Assigné à mis à Joël Cuissinat
- % réalisé changé de 0 à 10
Reproduit sur mon AmonEcole-2.3
Pourrait-on envisager de forcer une redirection/réécriture de adresse_ip_eth0:8062 en adresse_ip_eth1:8062 lorsque l'on vient de eth1 (nb : vérifier que la variable ip_admin_eth1 est toujours prise en compte dans ce cas) ?
#2 Mis à jour par Thierry Bertrand il y a environ 11 ans
Dans la mise en œuvre de nos proxies, le reseau d'eth0 n'est pas routé sur notre intranet.
Une réécriture des@IP par iptables ne corrigera pas l'accès pour nous.
Cordialement
#3 Mis à jour par Joël Cuissinat il y a environ 11 ans
- Version cible mis à Mises à jour 2.3.8
#4 Mis à jour par Luc Bourdot il y a environ 11 ans
- Echéance mis à 25/01/2013
- Début changé de 11/01/2013 à 21/01/2013
#5 Mis à jour par Luc Bourdot il y a environ 11 ans
- Echéance
25/01/2013supprimé - Statut changé de Nouveau à A étudier
- Version cible
Mises à jour 2.3.8supprimé
#6 Mis à jour par Thierry Bertrand il y a plus de 10 ans
Bonjour,
la modification des 2 fichiers :
/usr/share/ead2/config/config.py
/usr/share/ead2/backend/actions/lightsquid.py
est en fait efficace.
Il manquait l'ouverture du port lightsquid sur nos modèles personnalisés.
Pour l'instant, nous traitons les modifs par ... patchs.
Un choix sur une liste d'interfaces pour alimenter ces templates serait la bienvenue.
Merci
Cordialement
#7 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Tâche parente mis à #8831
#8 Mis à jour par Daniel Dehennin il y a plus de 9 ans
- Statut changé de A étudier à Nouveau
#9 Mis à jour par Yann Michineau il y a plus de 9 ans
Bonjour,
En autorisant le reseau eth1 vers le port 8062 ça fonctionne :
/sbin/iptables -I adm-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
Idem pour eth2 :
/sbin/iptables -I ped-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
Enfin pour plus de sécurité ça serait bien d'interdire le 8062 depuis l'extérieur.
Après s'être authentifier on accède à rien mais avec la règle suivante on ne peut même pas s'authentifier. D'un point de vue sécurité c'est mieux je pense.
/sbin/iptables -I ext-bas -d IP_ETH0/32 -p tcp -m tcp --dport 8062 -j DROP
Serait il possible d'ajouter ces règles aux modèles ERA ?
Cdlt
#10 Mis à jour par Olivier FEBWIN il y a plus de 9 ans
Problème présent également sous Amon 2.4.0.1
#11 Mis à jour par Joël Cuissinat il y a plus de 8 ans
- Assigné à
Joël Cuissinatsupprimé - Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
#12 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Nouveau à En cours
#13 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- Assigné à mis à Emmanuel GARETTE
#14 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- % réalisé changé de 10 à 100
- Restant à faire (heures) changé de 4.0 à 0.25
#15 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- % réalisé changé de 100 à 70
- Restant à faire (heures) changé de 0.25 à 1.25
Il faut aussi mettre à jour les modèles Era.
#16 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- % réalisé changé de 70 à 100
- Restant à faire (heures) changé de 1.25 à 0.25
#17 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de En cours à Résolu
#18 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Statut changé de Résolu à En cours
#19 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- % réalisé changé de 100 à 80
- Restant à faire (heures) changé de 0.25 à 1.0
Lors de la saisie du mot de passe admin dans la popup, le lien vers l'URL n'est plus bon.
En connexion SSO, il n'est pas censé demander le mot de passe.
#20 Mis à jour par Joël Cuissinat il y a environ 8 ans
=> Suite dans #14772
#21 Mis à jour par Joël Cuissinat il y a environ 8 ans
- Statut changé de En cours à Fermé
- Restant à faire (heures) changé de 1.0 à 0.0
#22 Mis à jour par Olivier FEBWIN il y a environ 8 ans
Je vois que ce bug est résolu.
Pouvez-vous nous dire pour quelles versions svp ?