Tâche #4679
LightSquid - Scénario #8831: Pouvoir consulter les statistiques Lightsquid sur les adresses réseau internes de l'Amon
problème de consultation de stats lightsquid
Description
Bonjour,
lorsqu'on se connecte à l'ead d'un amon via eth1 dans le but d'afficher les stats proxy, on obtient systématiquement une page vide.
Le script d'alimentation /usr/share/lightsquid/lightparser.pl fait pourtant bien son travail et les répertoires cibles sont peuplés.
En regardant plus en détail le code source html de la page ead correspondante, on se rend compte que l'url cible pointe sur eth0 :
Par exemple, http://192.168.254.254:8062/index.cgi
Serait-il possible de pouvoir faire pointer l'accès des stats sur une eth de notre choix et pas forcément que eth0 ?
J'ai tenté de corriger le problème en faisant les manipulations de test suivantes :
modification du fichier /usr/share/ead2/backend/actions/lightsquid.py en remplaçant
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth0'], str(LIGHTSQUID_PORT))
par
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth1'], str(LIGHTSQUID_PORT))
redémarrage des services ead
=> pas mieux
Même modif + modification de /usr/share/ead2/config/config.py :
ip_locale = dico['adresse_ip_eth0']
par
ip_locale = dico['adresse_ip_eth1']
=> pas mieux non plus
Les 2 mêmes modifs en utilisant '127.0.0.1'
=> pas mieux
J'ai vérifié que les règles .fw pour l'ead étaient correctes sur le 8062, ce qui semble le cas.
Cordialement
Related issues
Associated revisions
récupérer le nom de domaine de la fenêtre courante pour ouvrir la popup lightsquid (ref #4679 @3h)
ajout de lightsquid dans le groupe "admin_amon" (ref #4679)
History
#1 Updated by Joël Cuissinat over 10 years ago
- Assigned To set to Joël Cuissinat
- % Done changed from 0 to 10
Reproduit sur mon AmonEcole-2.3
Pourrait-on envisager de forcer une redirection/réécriture de adresse_ip_eth0:8062 en adresse_ip_eth1:8062 lorsque l'on vient de eth1 (nb : vérifier que la variable ip_admin_eth1 est toujours prise en compte dans ce cas) ?
#2 Updated by Thierry Bertrand over 10 years ago
Dans la mise en œuvre de nos proxies, le reseau d'eth0 n'est pas routé sur notre intranet.
Une réécriture des@IP par iptables ne corrigera pas l'accès pour nous.
Cordialement
#3 Updated by Joël Cuissinat over 10 years ago
- Target version set to Mises à jour 2.3.8
#4 Updated by Luc Bourdot over 10 years ago
- Due date set to 01/25/2013
- Start date changed from 01/11/2013 to 01/21/2013
#5 Updated by Luc Bourdot over 10 years ago
- Due date deleted (
01/25/2013) - Status changed from Nouveau to A étudier
- Target version deleted (
Mises à jour 2.3.8)
#6 Updated by Thierry Bertrand about 10 years ago
Bonjour,
la modification des 2 fichiers :
/usr/share/ead2/config/config.py
/usr/share/ead2/backend/actions/lightsquid.py
est en fait efficace.
Il manquait l'ouverture du port lightsquid sur nos modèles personnalisés.
Pour l'instant, nous traitons les modifs par ... patchs.
Un choix sur une liste d'interfaces pour alimenter ces templates serait la bienvenue.
Merci
Cordialement
#7 Updated by Joël Cuissinat about 9 years ago
- Parent task set to #8831
#8 Updated by Daniel Dehennin about 9 years ago
- Status changed from A étudier to Nouveau
#9 Updated by Yann Michineau almost 9 years ago
Bonjour,
En autorisant le reseau eth1 vers le port 8062 ça fonctionne :
/sbin/iptables -I adm-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
Idem pour eth2 :
/sbin/iptables -I ped-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
Enfin pour plus de sécurité ça serait bien d'interdire le 8062 depuis l'extérieur.
Après s'être authentifier on accède à rien mais avec la règle suivante on ne peut même pas s'authentifier. D'un point de vue sécurité c'est mieux je pense.
/sbin/iptables -I ext-bas -d IP_ETH0/32 -p tcp -m tcp --dport 8062 -j DROP
Serait il possible d'ajouter ces règles aux modèles ERA ?
Cdlt
#10 Updated by Olivier FEBWIN over 8 years ago
Problème présent également sous Amon 2.4.0.1
#11 Updated by Joël Cuissinat almost 8 years ago
- Assigned To deleted (
Joël Cuissinat) - Estimated time set to 4.00 h
- Remaining (hours) set to 4.0
#12 Updated by Scrum Master over 7 years ago
- Status changed from Nouveau to En cours
#13 Updated by Emmanuel GARETTE over 7 years ago
- Assigned To set to Emmanuel GARETTE
#14 Updated by Emmanuel GARETTE over 7 years ago
- % Done changed from 10 to 100
- Remaining (hours) changed from 4.0 to 0.25
#15 Updated by Emmanuel GARETTE over 7 years ago
- % Done changed from 100 to 70
- Remaining (hours) changed from 0.25 to 1.25
Il faut aussi mettre à jour les modèles Era.
#16 Updated by Emmanuel GARETTE over 7 years ago
- % Done changed from 70 to 100
- Remaining (hours) changed from 1.25 to 0.25
#17 Updated by Scrum Master over 7 years ago
- Status changed from En cours to Résolu
#18 Updated by Fabrice Barconnière over 7 years ago
- Status changed from Résolu to En cours
#19 Updated by Fabrice Barconnière over 7 years ago
- % Done changed from 100 to 80
- Remaining (hours) changed from 0.25 to 1.0
Lors de la saisie du mot de passe admin dans la popup, le lien vers l'URL n'est plus bon.
En connexion SSO, il n'est pas censé demander le mot de passe.
#20 Updated by Joël Cuissinat over 7 years ago
=> Suite dans #14772
#21 Updated by Joël Cuissinat over 7 years ago
- Status changed from En cours to Fermé
- Remaining (hours) changed from 1.0 to 0.0
#22 Updated by Olivier FEBWIN over 7 years ago
Je vois que ce bug est résolu.
Pouvez-vous nous dire pour quelles versions svp ?