Impossible d'accéder au server-manager suite MAJ

[Pabze]

Bonjour,

Depuis la dernière mise à jour, impossible d'accéder au server-manager depuis l'interface web.
Aucun problème pour l'accès au ibays, et à la primary, pour peu quelles soient en http.
Idem depuis la console d'administration directement sur le server puisque celle-ci va sur du http.
Rien dans les divers logs d'apache.

Je soupçonne les certificats ssl, puisque je ne peux accéder à rien sur le serveur qui soit en https.
Les services httpd / httpd-e-smith / httpd-admin tourne sans problème.
Les divers signal-event ni changent rien...

Les contribs installées sont sarg/dansguardian de dungog et backuppc.
Aucune autre modification n'est faites sur cette machine.

Sur mes 4 autres SME 7.4 avec les mêmes contribs je n'ai aucun problèmes...

Quelqu'un peu me donner des pistes de réflexions ?
Une info de plus, le telnet de ma machine en port 443 ne fonctionne pas...

Merci,
Pabze

[Pabze]

Un iptables -L me ramène ceci :

Code: Tout sélectionner

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-04 16:21 CEST
Interesting ports on ACTARUS (192.168.0.247):
Not shown: 983 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   open     domain
80/tcp   open     http
110/tcp  open     pop3
139/tcp  open     netbios-ssn
143/tcp  open     imap
389/tcp  open     ldap
443/tcp  filtered https
465/tcp  open     smtps
515/tcp  open     printer
548/tcp  open     afp
993/tcp  open     imaps
995/tcp  open     pop3s
3128/tcp filtered squid-http
8083/tcp open     unknown


Le port 443 est filtered au lieu d'être open... Mais je ne vois pas comment remplacer la règle...
Les commandes suivantes reste sans succès :

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Pabze

[Pabze]

Pour me répondre à moi même :

Dans le fichier /etc/init.d/masq se sont glissé deux lignes :
/sbin/iptables -A $NEW_local_chk -s $network -p tcp --destination-port 443 -j DROP
/sbin/iptables -A $NEW_local_chk -d $network -p tcp --destination-port 443 -j DROP

Qui comme vous pouvez le comprendre empêche la connexion sur le port 443...
Je ne trouve pas de template pour le fichier masq...

Suis je en sécurité après un signal-event post-upgrade ??

Pabze

[sibsib]

Hello PABZE,

Tu as pleins de questionnements !

Je n'ai pas de réponses immédiates, si ce n'est que les templates de masq sont sous

/etc/e-smith/templates(-custom)/etc/rc.d/init.d/masq

En effet, le dossier réel est /etc/rc.d/init.d et /etc/init.d n'est qu'un lien symbolique (il me semble que c'est à prendre en compte aussi pour un expand-templates, plus sûr)

Egalement, sur ma SME, je n'ai pas de ligne de ce genre (et mon smeserver-manager va bien

A voir d'où te vient la grouille dans ton fichier masq, dans les templates.

Bonne chance,
Pascal

[Pabze]

Bonjour,

Et Merci Pascal pour ta réponse !!
Tellement énervé par ce blocage et je n'ai pas été plus loin que le bout de mon nez
Effectivement, et merci pour les templates de masq, je me trouve avec un fichier 90local_chk40networks qui vient du rpm de dungog (partie payante) smeserver-dansguardian-2.9-6.el4.sme
Je vais envoyer un mail à Stephen pour comprendre pourquoi ces règles sont présentes.
Surtout que rien dans l'interface d'administration ni dans la db ne les définies.

Car en faite, si on active le blockage du port 3128 pour ne pas passer outre le filtrage par dansguardian pour les machines du LAN depuis l'interface de Stephen, les règles iptables présentes dans ce fichier bloquent également le port 443... (Chose non présent dans les rpms précédants...)

Encore Merci Pascal
Pabze

[sibsib]

Hello,

"Il vous en prie"

Ceci dit, se peut-il que le RPM ait toujours été ainsi, et que tu atteignais le server-manager via le proxy ?

L'idée pourrait être la suivante : je bloque l'accès aux ports 80 et 443 depuis le LAN, tout le monde doit passer par le port 3128, et basta !

A+,
Pascal

[Pabze]

Bonjour,

J'ai vu avec Stephen de dungog, cette règle n'est apparue que depuis la dernière release du server-manager de dansguardian !
Stephen me dit en gros que si je veux éviter ce problème, que je repasse à la version précédente...

Encore Merci,
A bientôt,

Pabze