Project

General

Profile

Tâche #4679

LightSquid - Scénario #8831: Pouvoir consulter les statistiques Lightsquid sur les adresses réseau internes de l'Amon

problème de consultation de stats lightsquid

Added by Thierry Bertrand over 8 years ago. Updated about 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
01/21/2013
Due date:
% Done:

80%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Bonjour,

lorsqu'on se connecte à l'ead d'un amon via eth1 dans le but d'afficher les stats proxy, on obtient systématiquement une page vide.
Le script d'alimentation /usr/share/lightsquid/lightparser.pl fait pourtant bien son travail et les répertoires cibles sont peuplés.

En regardant plus en détail le code source html de la page ead correspondante, on se rend compte que l'url cible pointe sur eth0 :
Par exemple, http://192.168.254.254:8062/index.cgi
Serait-il possible de pouvoir faire pointer l'accès des stats sur une eth de notre choix et pas forcément que eth0 ?

J'ai tenté de corriger le problème en faisant les manipulations de test suivantes :
modification du fichier /usr/share/ead2/backend/actions/lightsquid.py en remplaçant
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth0'], str(LIGHTSQUID_PORT))
par
lightsquid_url = "{0}http://{1}:{2}/index.cgi".format(url, dico['adresse_ip_eth1'], str(LIGHTSQUID_PORT))
redémarrage des services ead
=> pas mieux

Même modif + modification de /usr/share/ead2/config/config.py :
ip_locale = dico['adresse_ip_eth0']
par
ip_locale = dico['adresse_ip_eth1']
=> pas mieux non plus

Les 2 mêmes modifs en utilisant '127.0.0.1'
=> pas mieux

J'ai vérifié que les règles .fw pour l'ead étaient correctes sur le 8062, ce qui semble le cas.

Cordialement


Related issues

Related to ead - Evolution #6870: Diffusion de lightsquid en https ? Fermé 02/07/2014
Duplicated by Amon - Anomalie #10109: Lightsquid sur eth0 uniquement ? Fermé 12/18/2014
Copied to eole-proxy - Tâche #14772: Corriger la consultation des stats lightsquid en mode SSO Fermé 01/21/2013

Associated revisions

Revision 2956a2e2 (diff)
Added by Emmanuel GARETTE over 5 years ago

récupérer le nom de domaine de la fenêtre courante pour ouvrir la popup lightsquid (ref #4679 @3h)

Revision 86afd442 (diff)
Added by Emmanuel GARETTE over 5 years ago

ajout de lightsquid dans le groupe "admin_amon" (ref #4679)

History

#1 Updated by Joël Cuissinat over 8 years ago

  • Assigned To set to Joël Cuissinat
  • % Done changed from 0 to 10

Reproduit sur mon AmonEcole-2.3

Pourrait-on envisager de forcer une redirection/réécriture de adresse_ip_eth0:8062 en adresse_ip_eth1:8062 lorsque l'on vient de eth1 (nb : vérifier que la variable ip_admin_eth1 est toujours prise en compte dans ce cas) ?

#2 Updated by Thierry Bertrand over 8 years ago

Dans la mise en œuvre de nos proxies, le reseau d'eth0 n'est pas routé sur notre intranet.
Une réécriture des@IP par iptables ne corrigera pas l'accès pour nous.

Cordialement

#3 Updated by Joël Cuissinat over 8 years ago

  • Target version set to Mises à jour 2.3.8

#4 Updated by Luc Bourdot over 8 years ago

  • Due date set to 01/25/2013
  • Start date changed from 01/11/2013 to 01/21/2013

#5 Updated by Luc Bourdot over 8 years ago

  • Due date deleted (01/25/2013)
  • Status changed from Nouveau to A étudier
  • Target version deleted (Mises à jour 2.3.8)

#6 Updated by Thierry Bertrand over 7 years ago

Bonjour,

la modification des 2 fichiers :
/usr/share/ead2/config/config.py
/usr/share/ead2/backend/actions/lightsquid.py
est en fait efficace.

Il manquait l'ouverture du port lightsquid sur nos modèles personnalisés.
Pour l'instant, nous traitons les modifs par ... patchs.

Un choix sur une liste d'interfaces pour alimenter ces templates serait la bienvenue.

Merci
Cordialement

#7 Updated by Joël Cuissinat over 6 years ago

  • Parent task set to #8831

#8 Updated by Daniel Dehennin over 6 years ago

  • Status changed from A étudier to Nouveau

#9 Updated by Yann Michineau over 6 years ago

Bonjour,
En autorisant le reseau eth1 vers le port 8062 ça fonctionne :
/sbin/iptables -I adm-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Idem pour eth2 :
/sbin/iptables -I ped-bas -s IP_RESEAU_A_AUTORISER/CIDR -d IP_eth0/32 -i eth1 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Enfin pour plus de sécurité ça serait bien d'interdire le 8062 depuis l'extérieur.
Après s'être authentifier on accède à rien mais avec la règle suivante on ne peut même pas s'authentifier. D'un point de vue sécurité c'est mieux je pense.
/sbin/iptables -I ext-bas -d IP_ETH0/32 -p tcp -m tcp --dport 8062 -j DROP

Serait il possible d'ajouter ces règles aux modèles ERA ?
Cdlt

#10 Updated by Olivier FEBWIN over 6 years ago

Problème présent également sous Amon 2.4.0.1

#11 Updated by Joël Cuissinat over 5 years ago

  • Assigned To deleted (Joël Cuissinat)
  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

#12 Updated by Scrum Master over 5 years ago

  • Status changed from Nouveau to En cours

#13 Updated by Emmanuel GARETTE over 5 years ago

  • Assigned To set to Emmanuel GARETTE

#14 Updated by Emmanuel GARETTE over 5 years ago

  • % Done changed from 10 to 100
  • Remaining (hours) changed from 4.0 to 0.25

#15 Updated by Emmanuel GARETTE over 5 years ago

  • % Done changed from 100 to 70
  • Remaining (hours) changed from 0.25 to 1.25

Il faut aussi mettre à jour les modèles Era.

#16 Updated by Emmanuel GARETTE over 5 years ago

  • % Done changed from 70 to 100
  • Remaining (hours) changed from 1.25 to 0.25

#17 Updated by Scrum Master over 5 years ago

  • Status changed from En cours to Résolu

#18 Updated by Fabrice Barconnière over 5 years ago

  • Status changed from Résolu to En cours

#19 Updated by Fabrice Barconnière over 5 years ago

  • % Done changed from 100 to 80
  • Remaining (hours) changed from 0.25 to 1.0

Lors de la saisie du mot de passe admin dans la popup, le lien vers l'URL n'est plus bon.
En connexion SSO, il n'est pas censé demander le mot de passe.

#20 Updated by Joël Cuissinat over 5 years ago

=> Suite dans #14772

#21 Updated by Joël Cuissinat over 5 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 1.0 to 0.0

#22 Updated by Olivier FEBWIN about 5 years ago

Je vois que ce bug est résolu.
Pouvez-vous nous dire pour quelles versions svp ?

Also available in: Atom PDF