Scénario #32487
Mis à jour par Daniel Dehennin il y a presque 3 ans
h3. Problème
Sur un poste client de la zone pédagogique, il n’est pas possible de télécharger l’outil *@installMinion@* sans déclarer le proxy :
* pour GNU/Linux : http://salt/joineole/installMinion.sh
* pour Windows : http://salt/joineole/installMinion.exe
h3. Étude
En comparant entre un Amon 2.7.2 qui fonctionne et un Amon 2.8.1 qui pose problème :
* Il n’y a pas de différence *@iptables@*
* Il y a une différence au niveau des *@ipsets@*, l’adresse IP du Scribe ne fait plus partie des *exceptions de redirection des flux HTTP sans proxy* (era:source:era/templates/subtmpl/abstract/pedago.xml@2b5871b#L72)
<pre><code class="diff">
--- ipset-2.7.2.txt 2021-05-11 15:53:20.437072363 +0200
+++ ipset-2.8.1.txt 2021-05-11 15:52:13.949328343 +0200
@@ -1,14 +1,14 @@
create bastion-adm-ext-5-dst hash:net family inet hashsize 1024 maxelem 65536
add bastion-adm-ext-5-dst 192.168.230.120
-add bastion-adm-ext-5-dst 192.168.230.122
add bastion-adm-ext-5-dst 192.168.230.121
+add bastion-adm-ext-5-dst 192.168.230.122
add bastion-adm-ext-5-dst 194.167.18.22
create bastion-adm-ext-5-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-adm-ext-6-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-adm-ext-6-dst 192.168.230.121
add bastion-adm-ext-6-dst 192.168.230.120
-add bastion-adm-ext-6-dst 194.167.18.22
+add bastion-adm-ext-6-dst 192.168.230.121
add bastion-adm-ext-6-dst 192.168.230.122
+add bastion-adm-ext-6-dst 194.167.18.22
create bastion-adm-ext-6-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-adm-ext-7-dst hash:net family inet hashsize 1024 maxelem 65536
add bastion-adm-ext-7-dst 192.168.230.120
@@ -29,19 +29,16 @@
add bastion-ped-ext-7-dst 2.2.0.0/16
add bastion-ped-ext-7-dst 91.121.31.35
add bastion-ped-ext-7-dst 93.184.221.120
-add bastion-ped-ext-7-dst 10.1.3.5
create bastion-ped-ext-7-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-ped-ext-8-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-8-dst 91.121.31.35
-add bastion-ped-ext-8-dst 10.1.3.5
add bastion-ped-ext-8-dst 2.2.0.0/16
+add bastion-ped-ext-8-dst 91.121.31.35
add bastion-ped-ext-8-dst 93.184.221.120
create bastion-ped-ext-8-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-ped-ext-9-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-9-dst 93.184.221.120
-add bastion-ped-ext-9-dst 91.121.31.35
add bastion-ped-ext-9-dst 2.2.0.0/16
-add bastion-ped-ext-9-dst 10.1.3.5
+add bastion-ped-ext-9-dst 91.121.31.35
+add bastion-ped-ext-9-dst 93.184.221.120
create bastion-ped-ext-9-src hash:net family inet hashsize 1024 maxelem 65536
create group-web_services bitmap:port range 0-65000
add group-web_services 3128
</code></pre>
En regardant le XML de déclaration de la règle, l’exclusion de Scribe est déclaré par la variable *@proxy_bypass_domain_eth2@* :
<pre>
root@amon:~# CreoleGet proxy_bypass_domain_eth2
www.ac-dijon.fr
www.anglaisfacile.com
scribe.etb1.lan
</pre>
Seulement, le nom *@scribe.etb1.lan@* n’existe plus du fait d’un effet de bord de la délégation de zone inverse (#30426) :
<pre>
root@amon:~# dig scribe.etb1.lan +short
root@amon:~#
</pre>
Le soucis vient de *@h2n@* qui ne prend pas en compte les entrées DNS si le réseau associé à son IP n’est pas passé en option *@-n IP:MASK@*.
h3. Solution
# Laisser *@h2n@* gérer tous les réseaux * Il ne faut plus utiliser *@scribe.etb1.lan@* pour référencer le Scribe mais *@scribe.dompedago.etb1.lan@*
# Supprimer la configuration de déclaration de zone pour * Décoréler les zones inverses déléguées afin des zones directes dans la génération des zones DNS sur Amon, l’exclusion des zones inverses délégués ne doit pas entraîner l’exclusion de l’entrée dans la zone directe, ainsi, *@10.1.3.5 scribe.etb1.lan@*
** doit générer une entrée dans la zone directe *@scribe.etb1.lan. IN A 10.1.3.5@*
** ne doit pas entrer en conflit avec les déclaration *@/etc/bind/forward.zones@*. générer de zone inverse *@5.2.10.in-addr.arpa@*
Sur un poste client de la zone pédagogique, il n’est pas possible de télécharger l’outil *@installMinion@* sans déclarer le proxy :
* pour GNU/Linux : http://salt/joineole/installMinion.sh
* pour Windows : http://salt/joineole/installMinion.exe
h3. Étude
En comparant entre un Amon 2.7.2 qui fonctionne et un Amon 2.8.1 qui pose problème :
* Il n’y a pas de différence *@iptables@*
* Il y a une différence au niveau des *@ipsets@*, l’adresse IP du Scribe ne fait plus partie des *exceptions de redirection des flux HTTP sans proxy* (era:source:era/templates/subtmpl/abstract/pedago.xml@2b5871b#L72)
<pre><code class="diff">
--- ipset-2.7.2.txt 2021-05-11 15:53:20.437072363 +0200
+++ ipset-2.8.1.txt 2021-05-11 15:52:13.949328343 +0200
@@ -1,14 +1,14 @@
create bastion-adm-ext-5-dst hash:net family inet hashsize 1024 maxelem 65536
add bastion-adm-ext-5-dst 192.168.230.120
-add bastion-adm-ext-5-dst 192.168.230.122
add bastion-adm-ext-5-dst 192.168.230.121
+add bastion-adm-ext-5-dst 192.168.230.122
add bastion-adm-ext-5-dst 194.167.18.22
create bastion-adm-ext-5-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-adm-ext-6-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-adm-ext-6-dst 192.168.230.121
add bastion-adm-ext-6-dst 192.168.230.120
-add bastion-adm-ext-6-dst 194.167.18.22
+add bastion-adm-ext-6-dst 192.168.230.121
add bastion-adm-ext-6-dst 192.168.230.122
+add bastion-adm-ext-6-dst 194.167.18.22
create bastion-adm-ext-6-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-adm-ext-7-dst hash:net family inet hashsize 1024 maxelem 65536
add bastion-adm-ext-7-dst 192.168.230.120
@@ -29,19 +29,16 @@
add bastion-ped-ext-7-dst 2.2.0.0/16
add bastion-ped-ext-7-dst 91.121.31.35
add bastion-ped-ext-7-dst 93.184.221.120
-add bastion-ped-ext-7-dst 10.1.3.5
create bastion-ped-ext-7-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-ped-ext-8-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-8-dst 91.121.31.35
-add bastion-ped-ext-8-dst 10.1.3.5
add bastion-ped-ext-8-dst 2.2.0.0/16
+add bastion-ped-ext-8-dst 91.121.31.35
add bastion-ped-ext-8-dst 93.184.221.120
create bastion-ped-ext-8-src hash:net family inet hashsize 1024 maxelem 65536
create bastion-ped-ext-9-dst hash:net family inet hashsize 1024 maxelem 65536
-add bastion-ped-ext-9-dst 93.184.221.120
-add bastion-ped-ext-9-dst 91.121.31.35
add bastion-ped-ext-9-dst 2.2.0.0/16
-add bastion-ped-ext-9-dst 10.1.3.5
+add bastion-ped-ext-9-dst 91.121.31.35
+add bastion-ped-ext-9-dst 93.184.221.120
create bastion-ped-ext-9-src hash:net family inet hashsize 1024 maxelem 65536
create group-web_services bitmap:port range 0-65000
add group-web_services 3128
</code></pre>
En regardant le XML de déclaration de la règle, l’exclusion de Scribe est déclaré par la variable *@proxy_bypass_domain_eth2@* :
<pre>
root@amon:~# CreoleGet proxy_bypass_domain_eth2
www.ac-dijon.fr
www.anglaisfacile.com
scribe.etb1.lan
</pre>
Seulement, le nom *@scribe.etb1.lan@* n’existe plus du fait d’un effet de bord de la délégation de zone inverse (#30426) :
<pre>
root@amon:~# dig scribe.etb1.lan +short
root@amon:~#
</pre>
Le soucis vient de *@h2n@* qui ne prend pas en compte les entrées DNS si le réseau associé à son IP n’est pas passé en option *@-n IP:MASK@*.
h3. Solution
# Laisser *@h2n@* gérer tous les réseaux * Il ne faut plus utiliser *@scribe.etb1.lan@* pour référencer le Scribe mais *@scribe.dompedago.etb1.lan@*
# Supprimer la configuration de déclaration de zone pour * Décoréler les zones inverses déléguées afin des zones directes dans la génération des zones DNS sur Amon, l’exclusion des zones inverses délégués ne doit pas entraîner l’exclusion de l’entrée dans la zone directe, ainsi, *@10.1.3.5 scribe.etb1.lan@*
** doit générer une entrée dans la zone directe *@scribe.etb1.lan. IN A 10.1.3.5@*
** ne doit pas entrer en conflit avec les déclaration *@/etc/bind/forward.zones@*. générer de zone inverse *@5.2.10.in-addr.arpa@*