Bonjour,

Je suis en train de monter un serveur (physique) sans interface graphique et hébergeant un serveur cups.

Le serveur dispose d'une interface réseau (ens5) accessible en ipv6 à partir d'une adresse élaborée via un préfixe fourni par un routeur et l'adresse MAC de l'interface
jean-marie@serveur:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:21:86:12:34:56 brd ff:ff:ff:ff:ff:ff
    inet6 25f2:92fe:ef46:7301:221:86ff:fe12:3456/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86222sec preferred_lft 14222sec
    inet6 fe80::221:86ff:fe12:3456/64 scope link 
       valid_lft forever preferred_lft forever
jean-marie@serveur:~$
Le serveur dispose d'un firewall programmé avec nftables dont les règles ipv6 input et output sont (pour l'instant) iifname "ens5" accept (pour input) et oifname "ens5" accept (pour output), donc de type "passe tout".
Le fichier /etc/cups/cupsd.conf contient les directives suivantes :
Listen localhost:631
Listen /run/cups/cups.sock
Listen [25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631
Browsing On
WebInterface Yes

<Location />
  Order deny,allow
  Deny All
  Allow All 
</Location>
Et je n'arrive pas à accéder à ce serveur cups à partir du firefox de mon poste de travail (qui a accès au serveur en ssh sur ipv6).

Quelqu'un a une idée ?

Amicalement.

Jean-Marie
Salut,

Un retour de : 
sudo ss -tnlp | grep cups
pour vérifier que le démon cupsd est bien en écoute sur les adresses voulues.

Comment essaies-tu d’accéder à l'administration de cups à partir de ton poste de travail ?
Vu ta configuration il faut utiliser http://[25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631 dans la barre d'adresse de Firefox.
Il faut aussi vérifier( que tu as une adresse IPV6 permanente (fixée ou auto-générée à partir de l'adresse MAC)

Si cela ne fonctionne pas quel est le message d'erreur ?

HS : c'était très bien dans la rubrique serveurs, je ne comprends pas ce déplacement…
Bonjour Bruno,

Merci de ta réponse.

Pour l'adresse ip de mon serveur, tu as la réponse dans le "ip a" de mon premier post.
jean-marie@serveur:~$ sudo ss -tnlp | grep cups
LISTEN 0      5                                    127.0.0.1:631        0.0.0.0:*                     users:(("cupsd",pid=2013,fd=7))                           
LISTEN 0      5     [25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631           [::]:*                     users:(("cupsd",pid=2013,fd=8))                           
LISTEN 0      5                                        [::1]:631           [::]:*                     users:(("cupsd",pid=2013,fd=6))                           
jean-marie@serveur:~$ ps ax | grep cups
   1789 ?        Ssl    0:00 /usr/sbin/cupsd -l
   1792 ?        Ssl    0:00 /usr/sbin/cups-browsed
   1908 pts/0    S+     0:00 grep --color=auto cups
jean-marie@serveur:~$
Pour ce qui est de l'url dans mon navigateur :
- sur le serveur j'ai installé le service avahi, et
jean-marie@jean-marie:~$ avahi-resolve-host-name serveur.local
serveur.local	25f2:92fe:ef46:7301:221:86ff:fe12:3456
jean-marie@jean-marie:~$
- sur mon poste de travail, j'ai la ligne suivante dans le fichier /etc/hosts :
25f2:92fe:ef46:7301:221:86ff:fe12:3456 serveur
et
jean-marie@jean-marie:~$ host serveur
serveur has IPv6 address 25f2:92fe:ef46:7301:221:86ff:fe12:3456
Host serveur not found: 3(NXDOMAIN)
jean-marie@jean-marie:~$
Une tentative d'accès avec http://[25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631 se termine avec une recherche google sur le "mot clé" http://[ 25f2:92fe:ef46:7301:221:86ff:fe12:3456 ]:631

Par contre, http://[25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631/ se solde par un "La connexion a échoué"

Et toute tentative à partir de http://serveur:631 ou http://serveur.local:631 se solde aussi par un "La connexion a échoué".

Par contre, si après avoir essayé http://serveur.local:631, puis http://serveur:631, je clique sur la flèche retour arrière du navigateur, j'obtiens une réponse du serveur cups avec "Interdit - CUPS v2.3.1" dans le titre de l'onglet et le message "Interdit You cannot access this page".

Je n'y comprends vraiment rien.

Amicalement.

Jean-Marie
Ds le cups.conf
tu as bien : 
WebInterface Yes
<Location />
  Order allow,deny
  Allow all
</Location>
Presque.

Actuellement, j'ai :
WebInterface Yes
<Location />
  Order deny,allow
  Allow all
</Location>
Amicalement.

Jean-Marie
Il faut aussi : 
 <Location /admin>
    # Allow remote administration...
    Order allow,deny
    Allow all
 </Location>
et certainement d'autres autorisations dans ce fichier.
diesel a écritUne tentative d'accès avec http://[25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631 se termine avec une recherche google sur le "mot clé" http://[ 25f2:92fe:ef46:7301:221:86ff:fe12:3456 ]:631
Tu n'aurais pas désactivé IPv6 dans le navigateur ou ailleurs ?
Est-ce que http://[2a00:1450:4007:808::2003] fonctionne ? Cela devrait afficher une erreur 404 de Google.

Si tu veux utiliser le nom du serveur plutôt que l'adresse IP il faut aussi avoir dans cupsd.conf : 
HostNameLookups On
J'ai bien l'erreur 404 de google.

J'ai ajouté le ligne
HostNameLookups On
dans /etc/cups/cupsd.conf et ça fonctionne avec http://serveur.local:631.

Je ne comprends pas pourquoi cette option n'est pas activée par défaut.

Je continue à investiguer et je reviens vers vous des que c'est probant.

Amicalement.

Jean-Marie
Alors, ça fonctionne avec serveur.local:631 et [25f2:92fe:ef46:7301:221:86ff:fe12:3456]:631 mais pas avec serveur:631 qui correspond à la déclaration du fichier /etc/hosts de mon poste de travail.

Mais bon, ce n'est pas bien grave.

[EDIT] Quoi que..., je crois comprendre. Mon poste de travail résoud en local le nom "serveur" pour en déduire l'adresse ipv6. Firefox envoie la requête http au serveur sur son adresse ipv6 mais avec le nom "serveur" dans la requête et le cupsd du serveur est incapable de résoudre le nom "serveur" transmis dans la requête http (puis qu'il ne s'agit que d'une correspondance locale à mon poste de travail). [/EDIT]

Amicalement.

Jean-Marie
Donc cela fonctionne.
Es-tu bien conscient que tel quel ce n'est pas sécurisé du tout ?
bruno a écritDonc cela fonctionne.
Es-tu bien conscient que tel quel ce n'est pas sécurisé du tout ?
Tout à fait.

Au début, j'avais mis une configuration beaucoup plus sécurisée (tant au niveau de cupsd.conf qu'au niveau de netfilter), puis comme je n’arrivais à rien, j'ai tout ouvert afin d'être certain que le problème ne venait pas des verrous mis en place.

Mais comme j'ai gardé sous forme de commentaires les "anciennes" directives, ça ne va pas être difficile à remettre en place. 🙂

Merci à tous.

Amicalement.

Jean-Marie