Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-08-2021 14:56:59

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Mise à jour impossible

Bonjour, je vais essayer d'être le plus concis possible tout d'abord je vous présente mon schéma réseau (simulation sur GNS3), afin que vous puissiez mieux représenter mon petit soucis.https://wtf.roflcopter.fr/pics/cfM1KjUl/uZ54RTUs.png


Sur le serveur du VLAN 9 j'ai plusieurs services d’exécutés:
- NTP
- BIND9
Sur le par-feu2-1 j'ai ces services d’exécutés;
- DHCP
- SQUID
- Iptables

Malgré les arrêt des services Iptables sur les deux par-feu, je n'arrive pas à faire mes mise à jour que ce soit dans mes VLANs, comme aussi sur mon serveur srv-int, ce qui me pose un problème puis ce que j'ai fais ce réseau afin de tester plusieurs outils de MONITORING, que je ne peux installer sur les postes clients du service informatique qui sont bien sûr les postes d'administration de ce réseau.

Voici le message d'erreur rencontré:
https://wtf.roflcopter.fr/pics/9W9DXu15/jDSNbi6s.png


J'ai cherché à identifier et solutionner ce problème et je ne trouve pas quelqu'un pourrais me donner pistes
J'ai poster mes images sur Lutim en espérant quelles seront de bonne lisibilités smile

Dernière modification par spawn63 (23-08-2021 15:10:42)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#2 23-08-2021 15:00:21

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

Je précise que mes mise à jour ne ce font pas à partir de mon serv-int-1 et sur tous les VLANs.
En ce qui concerne la MV simulant la BOX-par-feu et le FIREWALL-2 je n'ai rencontré aucun soucis ce que je trouve bizarre tout de même hmm

J'ai bien sûr accès à internet mes redirections sur le port du proxy fonctionnent, tout mon réseau et  ses interconnexion sont correcte je ping 8.8.8.8 ainsi que www.google.com dans l'exemple.
Je n'ai installé aucun logiciel et ceci sur aucun poste client, de plus je n'ai en aucun cas modifier le fichier /etc/apt/sources.list
Merci pour vos réponses

Dernière modification par spawn63 (23-08-2021 17:47:30)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#3 23-08-2021 18:12:23

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

Je viens de faire un test en faisant ma mise à jour hors réseau et en utilisant que virtualbox en NAT et là bing la mise à jour c'est faite normalement. Bon je vais tester les mises à jour en passant par GNS3 et mon réseau et en désactivant service par service je trouverais bien/ Merci de m'avoir lu en tout cas!

« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#4 24-08-2021 22:15:01

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

Et oui c'est encore moi qui reviens,

Bien j'ai tout essayer ou tout du moins tout tester et rien n'y fait! Mon squid est configurer pour faire en sorte que les postes clients ne puissent accéder à internet que par le biais du proxy cache  (squid) en ce sens je reste persuadé que si les mises à jour ne se font pas c'est que squid me fou un peut le delbor à ce niveau!

Demain je test en vidant le cache de squid sait on jamais.

Aller un petit effort quelqu'un doit bien avoir une petite gamberge à me soumettre afin que je puisse penser d'une autre manière et solutionner ce petit désagrément! smile

« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#5 27-08-2021 17:52:47

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

Salut,

Bon bien j'ai bien vérifié, j'ai configuré sur mon par-feu, une redirection de port des protocoles HTTP, et HTTPS vers le port de squid, ce qui fait que les mises à jour passe par le proxy, et donc le problème viendrais de cette redirection.

J'ai commenté la ligne correspondante à la redirection sur mon script Iptables afin de pouvoir travailler correctement et aussi de trouver la solution pour avoir la redirection des protocoles HTTP et HTTPS vers le port du proxy et aussi de pouvoir faire les mises à jour sur les postes clients de manière normale, et là c'est pour moi encore une inconnue et ceci  malgré avoir fait un premier jet de lecture les mans:
- apt-secure
- apt.conf
- sources.list

hmm

Si quelqu'un à une solution je suis preneur

Dernière modification par spawn63 (27-08-2021 17:57:01)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#6 27-08-2021 19:14:12

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour impossible

1) Est-ce que squid est configuré pour fonctionner en proxy transparent ? Sans cela une redirection des connexions HTTP vers le proxy ne fonctionnera pas. On ne discute pas avec un proxy comme on discute avec un serveur web.

2) HTTPS ne peut fonctionner avec un proxy transparent que si celui-ci est configuré pour usurper l'identité des sites de destination et si les clients sont configurés pour accepter le faux certificat présenté. Techniquement, c'est une attaque de type man-in-the-middle.

L'alternative au proxy transparent, c'est de configurer les clients (pas seulement le navigateur web mais aussi apt) pour utiliser le proxy.

Il vaut mieux montrer que raconter.

Hors ligne

#7 31-08-2021 15:25:50

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

non il n'est pas configuré en ce sens le proxy dont il est question est un proxy cache,  j'avoue que depuis mon dernier poste j'ai un peut décroché/

Un contact ma donné une piste qui serait celle d'installer apt-proxy et ensuite de modifier ou de créer le fichier /etc/apt/apt.conf.d/proxy.conf (je n'ai pas testé).

Je compte tester et voir si mes mises à jour pourrons être faites sans que je soit obligé de commenter sur mon fichier Iptables la ligne de redirection des ports HTTP et HTTPS vers le port de squid.



raleur a écrit :

L'alternative au proxy transparent, c'est de configurer les clients (pas seulement le navigateur web mais aussi apt) pour utiliser le proxy.



je n'ai pas encore testé le fonctionnement d'un proxy transparent

Dernière modification par spawn63 (31-08-2021 15:26:36)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#8 31-08-2021 22:58:06

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour impossible

spawn63 a écrit :

le proxy dont il est question est un proxy cache


Peu importe qu'il soit cache, filtrant ou qu'il danse la samba. Le fait de fonctionner en proxy transparent est orthogonal : ça veut dire qu'il répond comme un serveur web au lieu de répondre comme un proxy.

spawn63 a écrit :

installer apt-proxy et ensuite de modifier ou de créer le fichier /etc/apt/apt.conf.d/proxy.conf


Il n'y pas de paquet apt-proxy. Si tu veux parler d'un proxy APT (approx, apt-cache(-ng)), ça se configure plutôt dans sources.list à la place d'un miroir normal.

spawn63 a écrit :

je n'ai pas encore testé le fonctionnement d'un proxy transparent


En fait si puisque la redirection des ports suppose de fait un fonctionnement en proxy transparent, mais sans avoir configuré le proxy comme tel donc ça ne marche pas : il s'attend à ce qu'on lui parle comme à un proxy alors que le client lui parle comme à un serveur web, ne sachant pas qu'il a été redirigé vers un proxy.

Dernière modification par raleur (31-08-2021 23:00:31)


Il vaut mieux montrer que raconter.

Hors ligne

#9 01-09-2021 15:32:36

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : Mise à jour impossible

raleur a écrit :

En fait si puisque la redirection des ports suppose de fait un fonctionnement en proxy transparent, mais sans avoir configuré le proxy comme tel donc ça ne marche pas : il s'attend à ce qu'on lui parle comme à un proxy alors que le client lui parle comme à un serveur web, ne sachant pas qu'il a été redirigé vers un proxy.


Ok je comprend mieux, toujours est il que ma redirection fonctionne et que aucun poste client ne peut accéder au web sans passer par le proxy.
Reste que les mises à jour ne peuvent être faite, je vais plus me diriger vers apt en premier lieu que de me centraliser sur les paramétrages du proxy.

Merci pour tes précisions raleur


je vous tiens au courant


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#10 01-09-2021 20:28:49

raleur
Membre
Inscription : 03-10-2014

Re : Mise à jour impossible

spawn63 a écrit :

ma redirection fonctionne


Mais elle ne sert à rien sans proxy transparent.

spawn63 a écrit :

aucun poste client ne peut accéder au web sans passer par le proxy.


Si c'est ça que tu veux, alors c'est un filtrage qu'il faut mettre en place, pas une redirection.

spawn63 a écrit :

je vais plus me diriger vers apt en premier lieu que de me centraliser sur les paramétrages du proxy


Concrètement, qu'est-ce que tu veux dire ?


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums