[RESOLU] Pb avec apt-get update derrière un firewall

Bon, voilà le topo:

J’ai installé et configuré mon serveur en local, fait les mises à jour de sécurité, etc.
Puis, je l’ai enmené dans le data center ou il est hébergé derrière un firewall netasq f200.
Ensuite, j’ai tenté de faire des mises à jour d’apt, et là… voici l’erreur:

ns1:~# apt-get update Err ftp://ftp2.fr.debian.org stable/main Packages Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Err ftp://ftp2.fr.debian.org stable/main Release Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Err ftp://ftp2.fr.debian.org stable/main Sources Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Err ftp://ftp2.fr.debian.org stable/main Release Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Réception de : 1 http://security.debian.org stable/updates/main Packages [421kB] Réception de : 2 http://security.debian.org stable/updates/main Release [110B] 421ko réceptionnés en 15s (28,0ko/s) Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/stable/main/binary-i386/Packages.gz Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/stable/main/binary-i386/Release Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/stable/main/source/Sources.gz Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/stable/main/source/Release Erreur de lecture - read (104 Connexion ré-initialisée par le correspondant) Lecture des listes de paquets... Fait E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Je pense donc qu’il s’agit d’une règle de routage de mon firewall qui n’est pas bonne. J’ai cependant ouvert les ports http (80), ftp(21), ftp data (20) en entrée et en sortie, pour que apt puisse joindre ses sources, mais il semble que cela ne suffise pas.
Si quelqu’un pouvait me lister la liste des ports nécessaires à mes mises à jour, je lui en serait reconnaissant!!

Merki

hello,

Penche toi sur le module connexion tracking ftp de iptables.

Tu parles d’entrée et de sortie sur certains ports, mais es tu sur d’avoir configuré ton routeur pour un masquerading ou un dnat quelconque (un partage de connection, quoi) ?
As tu quoi que ce soit qui traverse déjà ton routeur, et peux tu surfer depuis une machine ?

[quote=“mattotop”]Tu parles d’entrée et de sortie sur certains ports, mais es tu sur d’avoir configuré ton routeur pour un masquerading ou un dnat quelconque (un partage de connection, quoi) ?
As tu quoi que ce soit qui traverse déjà ton routeur, et peux tu surfer depuis une machine ?[/quote]

Je n’ai pas de NAT derrière mon routeur pour la simple et bonne raison, que je vais utiliser direct admin sur mes serveurs Web, et que celui - ci ne fonctionne qu’avec des adresses IP publiques.

Schéma Réseau : Netasq f200=> switch linksys 24 ports (sans VLAN) => serveurs NS + serveurs web (le tout avec IP publiques)

Concernant masquerading, je ne sais pas trop de quoi il retourne (il s’agit bien de NAT, non?), côté partage de connexion, je ne suis pas dans ce cas la.

Mes serveurs tournant sous sarge en mode console, j’ai fait des tests de “surf” depuis un portable sur la patte réseau local de mon firewall, pas de pb de ce côté la, sinon toutes mes règles de filtrage sont bonnes, du moins pour la partie administration, et connexion distante aux serveurs.

quote="fullmetalucard"
Mes serveurs tournant sous sarge en mode console, j’ai fait des tests de “surf” depuis un portable sur la patte réseau local de mon firewall, pas de pb de ce côté la, sinon toutes mes règles de filtrage sont bonnes, du moins pour la partie administration, et connexion distante aux serveurs.[/quote]OK. Je vois mieux ta config.
Si tu surfes sans problême, c’est que le problême vient du ftp et pas du http.
Essayes déjà de passer toutes les lignes de ton sources.list en “deb http:…” au lieu de ftp. Ca devrait déjà te permettre de faire tes mises à jour.
Pour ce qui est du ftp, c’est plus vicieux à resoudre.
On a eu une discussion sur ce qu’il est necessaire d’ouvrir pour le laisser passer.
Je crois me souvenir qu’il faut autoriser le passage des paquets venant d’une frange de ports supèrieurs (1024-???, à retrouver) et allant vers le port ftp-data du client, pour qu’il puisse non seulement causer par le port ftp, mais que le serveur puisse initier ses connections de données vers le client.
Enfin bon, tu dois déjà pouvoir faire du ftp en mode passif, mais je ne sais plus comment ça se precise dans apt.conf.

Ok, je cerne la chose, voici mon sources.list:

[quote]deb ftp://ftp2.fr.debian.org/debian/ stable main
deb-src ftp://ftp2.fr.debian.org/debian/ stable main
deb security.debian.org/ stable/updates main[/quote]

Effectivement, si on regarde mon message d’erreur de tout à l’heure, on voit que des mises à jour ont été faites pour la ligne 3
#deb security.debian.org/ stable/updates main

Maintenant, comment passer ses lignes en mode http?
#deb ftp://ftp2.fr.debian.org/debian/ stable main
#deb-src ftp://ftp2.fr.debian.org/debian/ stable main

Je n’ai pas envie de me tromper de sources…

tu mets juste http comme protocole de l’url partout. Ca a toutes les chances de marcher (ne pas se fier au nom des serveurs qui servent la plupart du temps aussi bien en ftp qu’en http) et tu ne risque rien à tester l’update .

petite remarque:
soit tu as besoin de recompiler des paquets et tu peux dédoubler tous les dépots binaires (deb) pour ajouter leur pendant source (deb-src) qui existe forcément de par la GPL,
soit tu n’en as pas besoin parceque tu n’installes que les binaires sans recompiler et tu peux alors commenter toutes les deb-src pour accélèrer l’update

Yop, je ne pensais pas que c’était aussi simple, j’aurais essayé quelque chose du genre: # deb http.us.debian.org/debian stable main contrib non-free

Mais je vais opter pour ceci

deb http://ftp2.fr.debian.org/debian/ stable main
#deb-src http://ftp2.fr.debian.org/debian/ stable main [/code]

et en effet, recommenter mes MAJ de sources, car je ne suis qu'un piètre compilateur de seconde zone, de plus, sur des machines en production, je ne vais pas m'amuser à faire ca.

Après modif :
[code]Atteint http://security.debian.org stable/updates/main Packages
Atteint http://security.debian.org stable/updates/main Release
Atteint http://ftp2.fr.debian.org stable/main Packages
Atteint http://ftp2.fr.debian.org stable/main Release
Lecture des listes de paquets... Fait

Merci m’sieur!

quote="fullmetalucard"
et en effet, recommenter mes MAJ de sources, car je ne suis qu’un piètre compilateur de seconde zone, de plus, sur des machines en production, je ne vais pas m’amuser à faire ca.(…)[/quote]Détrompes toi. C’est justement la qu’on recompile pour des spécificités ou de la performance. Ca sert pas qu’a faire joujou chez soi sur sa machine.
Mais c’est vrai qu’on fait ça AVANT la mise en prod.

Bon, et bien autant mon pemier serveur a accepté la modif sans problème, autant le deuxième ne veut rien savoir… gloups
En effet, voici le message d’erreur après un #apt-get update:

Err http://ftp2.fr.debian.org stable/main Packages Ne parvient pas à résoudre « ftp2.fr.debian.org » Err http://ftp2.fr.debian.org stable/main Release Ne parvient pas à résoudre « ftp2.fr.debian.org » Err http://security.debian.org stable/updates/main Packages Ne parvient pas à résoudre « security.debian.org » Err http://security.debian.org stable/updates/main Release Ne parvient pas à résoudre « security.debian.org » Impossible de récupérer http://ftp2.fr.debian.org/debian/dists/stable/main/binary-i386/Packages.gz Ne parvient pas à résoudre « ftp2.fr.debian.org » Impossible de récupérer http://ftp2.fr.debian.org/debian/dists/stable/main/binary-i386/Release Ne parvient pas à résoudre « ftp2.fr.debian.org » Impossible de récupérer http://security.debian.org/dists/stable/updates/main/binary-i386/Packages.gz Ne parvient pas à résoudre « security.debian.org » Impossible de récupérer http://security.debian.org/dists/stable/updates/main/binary-i386/Release Ne parvient pas à résoudre « security.debian.org » Lecture des listes de paquets... Fait W: Impossible de localiser la liste des paquets sources http://security.debian.org stable/updates/main Packages (/var/lib/apt/lists/security.debian.org_dists_stable_updates_main_binary-i386_Packages) - stat (2 Aucun fichier ou répertoire de ce type) W: Vous pouvez lancer « apt-get update » pour corriger ces problèmes. E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Un problème de résolution de nom, donc, bizzare. Ce serveur est le serveur DNS secondaire de mon domaine (ironie du sort…), cela peut-il venir de mon resolv.conf??

Les mises à jour effectuées en local lorsque le serveur était avec moi, s’étaient pourtant bien déroulées.
Sachant que mon fichier sources.list est identique à mon serveur DNS primaire, où trouver le couac?

dans le resolv.conf, ou si tes serveurs dns s’utilisent eux même comme resolver (ce qui voudrait dire qu’ils sont récursifs, ce qui n’est pas conforme au rfc pour un dns de diffusion), dans la difference de déclaration des forwarders.

Hmm, en l’occurence, mon serveur secondaire utilise le premier en tant que “nameserver”.

Dois-je renseigner, les DNS de mon FAI ici? Ces DNS sont-ils également à renseigner en tant que forwarders pour mes deux serveurs dans la section option de named.conf?

Pour la récursivité, j’ai pourtant passé l’option recursion no; dans mon fichier, et j’ai fais un chek de mon DNS chez dnsstuff, ca passe.

Ca roule, j’ai renseigné les DNS de mon FAI dans nameservers, renseigné les forwarders, nickel chroot quoi!