Mise à jour impossible

spawn63 · 23-08-2021 13:56:59

Bonjour, je vais essayer d'être le plus concis possible tout d'abord je vous présente mon schéma réseau (simulation sur GNS3), afin que vous puissiez mieux représenter mon petit soucis.https://wtf.roflcopter.fr/pics/cfM1KjUl/uZ54RTUs.png

Sur le serveur du VLAN 9 j'ai plusieurs services d’exécutés:
- NTP
- BIND9
Sur le par-feu2-1 j'ai ces services d’exécutés;
- DHCP
- SQUID
- Iptables

Malgré les arrêt des services Iptables sur les deux par-feu, je n'arrive pas à faire mes mise à jour que ce soit dans mes VLANs, comme aussi sur mon serveur srv-int, ce qui me pose un problème puis ce que j'ai fais ce réseau afin de tester plusieurs outils de MONITORING, que je ne peux installer sur les postes clients du service informatique qui sont bien sûr les postes d'administration de ce réseau.

Voici le message d'erreur rencontré:
https://wtf.roflcopter.fr/pics/9W9DXu15/jDSNbi6s.png

J'ai cherché à identifier et solutionner ce problème et je ne trouve pas quelqu'un pourrais me donner pistes
J'ai poster mes images sur Lutim en espérant quelles seront de bonne lisibilités

Dernière modification par spawn63 (23-08-2021 14:10:42)

spawn63 · 23-08-2021 14:00:21

Je précise que mes mise à jour ne ce font pas à partir de mon serv-int-1 et sur tous les VLANs.
En ce qui concerne la MV simulant la BOX-par-feu et le FIREWALL-2 je n'ai rencontré aucun soucis ce que je trouve bizarre tout de même

J'ai bien sûr accès à internet mes redirections sur le port du proxy fonctionnent, tout mon réseau et ses interconnexion sont correcte je ping 8.8.8.8 ainsi que www.google.com dans l'exemple.
Je n'ai installé aucun logiciel et ceci sur aucun poste client, de plus je n'ai en aucun cas modifier le fichier /etc/apt/sources.list
Merci pour vos réponses

Dernière modification par spawn63 (23-08-2021 16:47:30)

spawn63 · 23-08-2021 17:12:23

Je viens de faire un test en faisant ma mise à jour hors réseau et en utilisant que virtualbox en NAT et là bing la mise à jour c'est faite normalement. Bon je vais tester les mises à jour en passant par GNS3 et mon réseau et en désactivant service par service je trouverais bien/ Merci de m'avoir lu en tout cas!

spawn63 · 24-08-2021 21:15:01

Et oui c'est encore moi qui reviens,

Bien j'ai tout essayer ou tout du moins tout tester et rien n'y fait! Mon squid est configurer pour faire en sorte que les postes clients ne puissent accéder à internet que par le biais du proxy cache (squid) en ce sens je reste persuadé que si les mises à jour ne se font pas c'est que squid me fou un peut le delbor à ce niveau!

Demain je test en vidant le cache de squid sait on jamais.

Aller un petit effort quelqu'un doit bien avoir une petite gamberge à me soumettre afin que je puisse penser d'une autre manière et solutionner ce petit désagrément!

spawn63 · 27-08-2021 16:52:47

Salut,

Bon bien j'ai bien vérifié, j'ai configuré sur mon par-feu, une redirection de port des protocoles HTTP, et HTTPS vers le port de squid, ce qui fait que les mises à jour passe par le proxy, et donc le problème viendrais de cette redirection.

J'ai commenté la ligne correspondante à la redirection sur mon script Iptables afin de pouvoir travailler correctement et aussi de trouver la solution pour avoir la redirection des protocoles HTTP et HTTPS vers le port du proxy et aussi de pouvoir faire les mises à jour sur les postes clients de manière normale, et là c'est pour moi encore une inconnue et ceci malgré avoir fait un premier jet de lecture les mans:
- apt-secure
- apt.conf
- sources.list

Si quelqu'un à une solution je suis preneur

Dernière modification par spawn63 (27-08-2021 16:57:01)

raleur · 27-08-2021 18:14:12

1) Est-ce que squid est configuré pour fonctionner en proxy transparent ? Sans cela une redirection des connexions HTTP vers le proxy ne fonctionnera pas. On ne discute pas avec un proxy comme on discute avec un serveur web.

2) HTTPS ne peut fonctionner avec un proxy transparent que si celui-ci est configuré pour usurper l'identité des sites de destination et si les clients sont configurés pour accepter le faux certificat présenté. Techniquement, c'est une attaque de type man-in-the-middle.

L'alternative au proxy transparent, c'est de configurer les clients (pas seulement le navigateur web mais aussi apt) pour utiliser le proxy.

spawn63 · 31-08-2021 14:25:50

non il n'est pas configuré en ce sens le proxy dont il est question est un proxy cache, j'avoue que depuis mon dernier poste j'ai un peut décroché/

Un contact ma donné une piste qui serait celle d'installer apt-proxy et ensuite de modifier ou de créer le fichier /etc/apt/apt.conf.d/proxy.conf (je n'ai pas testé).

Je compte tester et voir si mes mises à jour pourrons être faites sans que je soit obligé de commenter sur mon fichier Iptables la ligne de redirection des ports HTTP et HTTPS vers le port de squid.

raleur a écrit :

L'alternative au proxy transparent, c'est de configurer les clients (pas seulement le navigateur web mais aussi apt) pour utiliser le proxy.

je n'ai pas encore testé le fonctionnement d'un proxy transparent

Dernière modification par spawn63 (31-08-2021 14:26:36)

raleur · 31-08-2021 21:58:06

spawn63 a écrit :

le proxy dont il est question est un proxy cache

Peu importe qu'il soit cache, filtrant ou qu'il danse la samba. Le fait de fonctionner en proxy transparent est orthogonal : ça veut dire qu'il répond comme un serveur web au lieu de répondre comme un proxy.

spawn63 a écrit :

installer apt-proxy et ensuite de modifier ou de créer le fichier /etc/apt/apt.conf.d/proxy.conf

Il n'y pas de paquet apt-proxy. Si tu veux parler d'un proxy APT (approx, apt-cache(-ng)), ça se configure plutôt dans sources.list à la place d'un miroir normal.

spawn63 a écrit :

je n'ai pas encore testé le fonctionnement d'un proxy transparent

En fait si puisque la redirection des ports suppose de fait un fonctionnement en proxy transparent, mais sans avoir configuré le proxy comme tel donc ça ne marche pas : il s'attend à ce qu'on lui parle comme à un proxy alors que le client lui parle comme à un serveur web, ne sachant pas qu'il a été redirigé vers un proxy.

Dernière modification par raleur (31-08-2021 22:00:31)

spawn63 · 01-09-2021 14:32:36

raleur a écrit :

En fait si puisque la redirection des ports suppose de fait un fonctionnement en proxy transparent, mais sans avoir configuré le proxy comme tel donc ça ne marche pas : il s'attend à ce qu'on lui parle comme à un proxy alors que le client lui parle comme à un serveur web, ne sachant pas qu'il a été redirigé vers un proxy.

Ok je comprend mieux, toujours est il que ma redirection fonctionne et que aucun poste client ne peut accéder au web sans passer par le proxy.
Reste que les mises à jour ne peuvent être faite, je vais plus me diriger vers apt en premier lieu que de me centraliser sur les paramétrages du proxy.

Merci pour tes précisions raleur

je vous tiens au courant

raleur · 01-09-2021 19:28:49

spawn63 a écrit :

ma redirection fonctionne

Mais elle ne sert à rien sans proxy transparent.

spawn63 a écrit :

aucun poste client ne peut accéder au web sans passer par le proxy.

Si c'est ça que tu veux, alors c'est un filtrage qu'il faut mettre en place, pas une redirection.

spawn63 a écrit :

je vais plus me diriger vers apt en premier lieu que de me centraliser sur les paramétrages du proxy

Concrètement, qu'est-ce que tu veux dire ?

Debian-facile

#1 23-08-2021 13:56:59

Mise à jour impossible

#2 23-08-2021 14:00:21

Re : Mise à jour impossible

#3 23-08-2021 17:12:23

Re : Mise à jour impossible

#4 24-08-2021 21:15:01

Re : Mise à jour impossible

#5 27-08-2021 16:52:47

Re : Mise à jour impossible

#6 27-08-2021 18:14:12

Re : Mise à jour impossible

#7 31-08-2021 14:25:50

Re : Mise à jour impossible

#8 31-08-2021 21:58:06

Re : Mise à jour impossible

#9 01-09-2021 14:32:36

Re : Mise à jour impossible

#10 01-09-2021 19:28:49

Re : Mise à jour impossible

Pied de page des forums