Probleme maj ubuntu derrière IPCOP

[sny]

Bonjour,

Je n'arrive pas à obtenir les mises à jour des postes sous ubuntu qui sont derrière un ipcop.
Pour ceux qui connaissent, lors d'une nouvelle version systeme il est normalement proposé la maj.
Par contre les maj classiques fonctionnent.

Je soupçonne IPcop car si je branche la connexion internet directement sur le pc à mettre à jour, la maj sytème est proposée et fonctionne parfaitement jusqu'au bout (j'ai testé).

infos sur ipcop:
ipcop 1.4.18
advproxy + urlfilter
blockoutrafic

Je suppose que je ne fourni pas suffisament d'info mais je ne sais pas vraiment lesquels ils faut fournir.

Quelqu'un à t-il une suggestion ?

Merci
Sylvain

[ccnet]

Ma première suggestion serait de consulter les logs d'ipcop pour voir si vous y trouvez trace d'un rejet des connexions vers le serveur de mise à jour Unbuntu.
Il est possible que ce service de mise à jour utilise un port non conventionnel et comme vous utilisez BOT, la connexion sortant vers ce port est potentiellement bloquée.
Si ce n'est pas le cas il sera temps d'envisager d'autres hypothèses.

[sny]

Je viens de regarder les logs. Je ne vois rien qui m'interpelle. En meme temps étant donné mon niveau d'expertise peut-être que des choses m'échappent (c'est certain même).

Je viens de relancer la recherche de maj sur une machine, il m'a bien proposé les maj classiques, mais pas celles du nouveau système. Ensuite je suis aller voir les logs, particulièrement ceux du firewall, mais l'ip de la machine souhaitant faire une maj n'est pas présente. J'en déduit que la machine ubuntu n'a pas cherchée à utiliser un port fermé!?

Est-ce que ma déduction est sensée ou pas ?

Y a t-il d'autre choses à regarder?

[ccnet]

prenons le problème autrement ... Pourriez vous regarder la documentation Unbuntu pour connaitre les conditions de fonctionnement de cette mise à jour.
Avez vous activé les logs pour la règles BOT qui bloque tout ce qui n'est pas autorisé ? C'est une bonne idée pour y voir clair de créer cette règle et d'activer la journalisation ....

En meme temps étant donné mon niveau d'expertise peut-être que des choses m'échappent

J'ai un peu du mal à comprendre comment vous vous retrouvez dans une situation pareille. Sans parler d'expertise sur une configuration ipcop 1.4.18 + advproxy + urlfilter + blockoutrafic il faut un minimum de connaissances ....
Vous pourriez désactiver advproxy + urlfilter pour que l'on tente de cerner le problème ?
En plus des autres points proposés au début bien sur.

[ccnet]

Quand le lis ceci http://doc.ubuntu-fr.org/installation/migration_breezy_dapper et si vous employez le lien torrent il est clair que sans autoriser la sortie vers le port 6969 dans BOT cela ne peut pas fonctionner ... à vous de nous dire ....

[sny]

Tout d'abord merci de prendre le temps de m'aider. On est tjrs bien accueilli sur ce forum et c'a fait plaisir.

Je me suis retrouvé dans cette situation parce que c'est moi qui est installé l'ipcop, mais sans connaissances approfondies en réseau et système. Donc je suis pas débutant, mais pas expert. Il me faut donc en général un peu de temps pour comprendre...

Revenons à nos moutons.

Concernant les logs, en effet ils sont désactivés pour tout ce qui est autorisé et activé pour ce qui n'est pas autorisé (a priori si je me suis pas planté. J'avais suivi le tuto du site bot).

la procedure (ou les notes ) concernant la maj du systeme ubuntu est celle-ci:
=> http://doc.ubuntu-fr.org/migration_gutsy_hardy
Je crois que testé toutes les solutions proposée (uniquement les maj par internet).

Par contre le torrent est à utiliser si on veut télécharger la distrib en iso, non? En tous cas je n'ai pas de torrent indiqués dans mon sources.list.

J'avais aussi testé en coupant advproxy mais cela n'avait rien changé. Je vais quand même retenté au cas ou...

J'avais même aussi tenté de couper le bot et le résultat était le meme.

Je vais retenter tous ça pour confirmation. Voilà pourquoi je suis un peu perdu.

[jdh]

Ubuntu (comme Debian) se met à jour via 2 outils apt-get ou aptitude ou via les interfaces fenetrées synaptic ou adept. Ces outils se basent sur une liste de sources indiquée dans le fichier /etc/apt/sources.list.

Il y a dans ce fichier des ligne du type "deb http://..../ gusty ..." qui indiquent que les paquets seront chargés en utilisant http. On peut utiliser aussi ftp://. De plus on peut utiliser un proxy via une ligne dans /etc/apt/apt.conf.d/proxy.

Il n'y a donc pas besoin d'autres protocoles.


Par contre, pour charger une iso de Ubuntu, il est conseillé d'utiliser, si possible, les outils Torrent.

L'usage de ces outils, notamment rapport au firewall, est documenté sur les sites correspondants.

[sny]

Petit retour et je vous avoue que j'y comprends de moins en moins.

J'ai enfin réussi à accéder aux maj systeme ubuntu!

Cela fonctionne quand je coupe advproxy + urlfilter + bot

Si je coupe seulement bot => marche pas
Si je coupe seulement urlfilter => marche pas
Si je coupe seulement advproxy (+ urlfilter) => marche pas et y a même plus internet, par contre je ping encore des serveur du net. Et là ça me dépasse encore plus.

Ca vous éclaire un peu plus?

[gemoussier]

Bonjour,

Si je coupe seulement advproxy (+ urlfilter) => marche pas et y a même plus internet, par contre je ping encore des serveur du net. Et là ça me dépasse encore plus.

Vérifiez que vous n'utilisez pas la redirection transparente sur le proxy, auquel cas le trafic http sera coupé si le proxy est arrêté, mais le reste peut sortir (icmp par exemple).

[PengouinPdt]

Juste pour info, concernant ulrfilter : les communications vers les domaines ubuntu* sont bloquées par la liste 'cleaning' ...

Voilà, si cela peut aider ...

Sachant que perso, dans ma config professionnelle, la seule différence est que je n'utilise pas advproxy ... mais toutes les màj ubuntu se font sans soucis ...
(j'utilise donc ipcop+bot+urlfilter, principalement ... j'ai désactivé la liste 'cleaning' tout en laissant les autres)

[Franck78]

Salut,
Comme le fait remarquer si justement mon ami jdh, la mise à jour consiste à obtenir par téléchargement une ribambelle de paquet deb. Pas de service exotique, non, non, juste serveur http ou ftp.
Et justement, après un echec de d'upgrade récent, je fixe désormais sans chercher la source (les serveurs donc) sur 'serveurs principaux' ou lieu de 'serveurs france'. Dans le gestionnaire de paquet.
L'erreur que j'avais concernait l'obtention d'une des listes sources. Introuvable.

Si je coupe seulement bot => marche pas

sans précision sur ce qui marche pas, a quoi bon le dire......

bye

[jdh]

Bonsoir Franck78 !

Je suis surpris que, dans ce fil, à aucun moment, il ne soit fait référence à un fichier log quelconque.


J'ai indiqué les éléments (factuels) de possibilité de mise à jour d'Ubuntu. Sur le site d'Ubuntu, tout cela est parfaitement documenté. Je dois reconnaître que je n'avais jamais vu mettre un lien .torrent dans le fichier /etc/apt/source !

A la lumière de ces éléments, il est clair que le fichier d'apt doit être remis à l'état normal, et que la procédure de mise à jour doit être suivi, avec calme, comme elle est décrite. (Je l'ai moi-même expérimenté pour une Kubuntu !)

A partir de ce moment, le flux, qui est forcément http ou ftp, peut être, effectivement, éventuellement bloqué par un addon d'Ipcop.


Et là, je suis naif sans doute, mais il doit bien y avoir un (ou des) fichier(s) de log des blocages réalisés par l'un ou l'autre des addons (sachant de plus que tu es le mainteneur de l'un d'eux !).

Pfouf, plus rien, ...



Je cite, ici, mon expérience nouvelle sur pfSense (enfin depuis plus d'1 an !). Avec la version 1.2RC2 puis RC3, le package officiel Squid a toujours bien fonctionné, ainsi que le complément lightSquid de visualisation du log access.log. Il existait un package non officiel SquidGuard mais je n'ai pas réussi à le faire fonctionner ...

Avec la 1.2 release définitive (sortie mi-mars), le package SquidGuard mis à jour est devenu officiel.

J'ai cherché à le configurer avec la blacklist de l'Université de Toulouse (Merci à Fabrice Prigent pour son travail !). Et j'ai obtenu de bons résultats avec une liste partielle (adult.tgz). Ce n'est pas top avec le paquet blacklist.gtz du fait de lien et de fichier texte (inutiles).

Mais avec un peu de calme et de méthode, on y arrive bien ... et il y a des logs qui sont la base de travail de mise au point méthodique ...

(J'ai eu l'occasion de le mettre en place pour un besoin demandé par un patron de PME, il est ravi ...)

[gunsnroses]

Je ne sais pas si la solution a été trouvé mais j'ai eu un petit problème similaire lors d'une dernière mise à jour, j'avais activé dans advproxy la vérification du navigateur et apt-get n'etait pas activé.

Si la vérification du navigateur est activée, essaye de le décocher puis sauve et redemarre advproxy.

Je ne sais pas si le problème viens de la mais un p'tit coup d'oeil ne fait pas mal.