Mises à jour bloquée

Par le firewall ?

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour à tous !

Je m'occupe des serveurs de l'iTeam et j'ai voulu les mettre à jour. Évidement ça n'a pas marché sinon je ne serait pas ici !

Les serveurs sont tous dernière un firewall et ont un sous réseau dédié : 10.5.163.*. Pour mettre à jour j'ai donc lancé la commande apt-get mais j'ai une erreur : Connexion à http-proxy.ece.fr: 3128 impossible. Je ne sais plus pourquoi ni comment, mais je me suis dis que ça devait être le firewall qui bloquais tout. J'ai vu que apt-get utilise les ports http(s) 80 et 443, j'ai donc ajouté une règle iptables :

1
2
3
4
iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 10.5.163.0/24 -d 0/0 --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 0/0 -d 10.5.163.0/24  --source-port 80 -m state --state ESTABLISHED -j ACCEPT
# et pareil pour le port 443
# eth1 est le sous-réseau interne et eth0 est l'exterieur

Maintenant quand je tente un apt get update ça fonctionne parfaitement sur certaines machines, mais pas sur d'autres : toujours la même erreur.

Ma question est donc :

Pourquoi ça marche a moitié ? Cela peut-il venir des ip des serveurs ? (sachant que tous les serveurs sont sur le même sous réseau, donc des ip de 10.5.163.2 à 10.5.163.8)

Et tant qu'on y est, juste pour être sur :

  • Pour appliquer les nouvelles règles iptables, je lance sudo /etc/init.d/networking restart. Est-ce utile / inutile / nécessaire ?
  • Les autres règles iptables déja en place on toutes une commande PREROUTING, mais dans mon cas dès que j'essaye de la rajouter ca ne marche plus du tout. Est-ce utile / nécessaire ?
  • Pour indiquer l'ensemble du sous-réseau, j'utilise /24. C'est équivalent à /255.255.255.0 d'après ce que j'ai lu ; cela correspondont-il bien aux ip 10.5.163.0 à 10.5.163.255 ?

Merci de votre aide.


Edit :

Alors c'est complétement débile mais j'ai visite le fichier /etc/apt/apt.conf et j'ai vu que le contenu n'était pas le même : sur les serveur qui arrivent à apt-get update il est vide mais sur les autres il y a cette ligne : Acquire::http::Proxy "http://http-proxy.ece.fr:3128/";. Je l'ai dégagé et c'est bon. \o/

Donc ma première question n'a plus lieu d'être mais par contre les 3 autres sont toujours d'actualité.

Édité par Nodraak

http://nodraak.fr/ – Dictateur bienveillant de l'iTeam, logiciel libre et sécurité à l'ECE Paris

+0 -0

Cette réponse a aidé l'auteur du sujet

Bonjour,

Comme je passe par là, je ne réponds pour ce que je sais :

  • Pour indiquer l'ensemble du sous-réseau, j'utilise /24. C'est équivalent à /255.255.255.0 d'après ce que j'ai lu ; cela correspondont-il bien aux ip 10.5.163.0 à 10.5.163.255 ?

Nodraak

Le masque /24 correspond bien à 255.255.255.0 et donc aux ip 10.5.163.0 à 10.5.163.255 (si on inclue l'adresse du réseau et celle de broadcast qui ne sont pas assignable)

Xia, peluche olympienne |Python en s'amusant | Random xkcd

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte