Salut, bon weekend 
Capture d’écran 2025-02-01 155119 - Requete HTTP/3
Çà bosse chez Google 
@+
Salut,
Sinon, j’en suis toujours au même point et pire !
« php-fpm and file html »
- Creating an HTML File with Embedded PHP
Create a PHP File: Navigate to your web root directory, usually /var/www/html, and create a file named index.php.<?php echo "<!DOCTYPE html> <html> <head> <title>PHP-FPM Test</title> </head> <body> <h1>Hello, World!</h1> <p>Current date and time is: " . date('Y-m-d H:i:s') . "</p> </body> </html>"; ?>
- Access Your File: Open your web browser and navigate to http://your_domain.com/index.php. You should see your HTML content rendered with the current date and time displayed.
Qu’est-ce que c’est que ce « truc » débile ! Mon serveur Web fait télécharger les fichiers « .html » aux internautes.
Je, on va tous modifier « 10 milles fichiers » HTML bien sûr, voir 100 000 !
Personne a une solution ?
Au revoir HTTP/2 
et PHP-FPM 
(FastCGI Process Manager).
a2disconf php8.2-fpm ; a2dismod mpm_event mpm_worker proxy proxy_fcgi fcgid ; a2enmod php8.2 mpm_prefork
Je vais testé HTTP/3 
sur mon serveur AT Home…
Bon déjà, bonne nouvelle, je suis repassé en HTTP/2 !
Et, j’ai trouvé une astuce (un vrai galère, doit y avoir un moyen de lire les HTML (et ne pas les faire terlécharger à l’internaute)) :
ln -s index.html index.php
En fait les fichiers .php (sans balise <?php d’ouverture et fermeture ?>) sont des HTML.
Pour bien rafraichir les pages de @ZW3B ("ipconfig /flushdns" et des…)
Ctrl + F5, Ctrl + F5, Ctrl + F5, Ctrl + F5
J’ajoute çà ici !
Sinon, y’a un « quelque chose de particulier » ; je m’affole, mais c’est peut être normal et bien mieux, Orange aurait des liens direct …
Je comprend mal.
CF les traceroute IPv6, je trouve pas cela normal.
root@gate:~ # traceroute6 howto.zw3b.fr
traceroute to howto.zw3b.fr (2607:5300:60:9389::1), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.726 ms 0.842 ms 1.083 ms
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 11.982 ms 12.442 ms 12.836 ms
3 * * *
4 * * 2a01:cfc4:0:2000::9 (2a01:cfc4:0:2000::9) 13.081 ms
5 srv.ca.lab3w.com (2607:5300:60:9389::1) 109.890 ms 107.080 ms 110.363 ms
root@gate:~ # traceroute6 howto.zw3b.fr
traceroute to howto.zw3b.fr (2001:41d0:801:2000::44f9), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.732 ms 0.974 ms 1.488 ms
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 72.989 ms 73.531 ms 74.049 ms
3 * * *
4 * * *
5 vps.uk.ipv10.net (2001:41d0:801:2000::44f9) 74.327 ms 74.834 ms 92.181 ms
root@gate:~ # traceroute6 howto.zw3b.fr
traceroute to howto.zw3b.fr (2001:41d0:701:1100::6530), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.713 ms 35.301 ms 1.177 ms
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 13.372 ms 13.762 ms 14.268 ms
3 * * *
4 2a01:cfc4:0:2000::9 (2a01:cfc4:0:2000::9) 14.639 ms * *
5 vps.de.ipv10.net (2001:41d0:701:1100::6530) 30.169 ms 30.747 ms 32.107 ms
On dirait que Orange à accrocher mes 3 fronteaux (CA|UK|DE) depuis leur machine la « 2a01:cfc4:0:2000::9 ».
Et, le plus horrible, du coup mes ‹ sites › ne sont plus accessible, çà bug complet depuis 5 jours !!! Certes, j’ai fais des modifications en 15 jours de HTTP/1 à HTTP/2 et re HTTP/1 pour HTTP/2 maintenant.
C’est quoi çà aussi ???
root@gate:~ # traceroute6 www.google.com
traceroute to www.google.com (2a00:1450:400a:801::2004), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.748 ms 137.274 ms 1.080 ms
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 11.715 ms 12.198 ms 12.710 ms
3 * * *
4 2a01:cfc4:0:2000::9 (2a01:cfc4:0:2000::9) 13.013 ms * *
5 zrh11s03-in-x04.1e100.net (2a00:1450:400a:801::2004) 27.661 ms 28.161 ms 28.949 ms
ou ?
root@gate:~ # traceroute6 www.wikipedia.org -I
traceroute to www.wikipedia.org (2a02:ec80:300:ed1a::1), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.476 ms 0.872 ms *
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 10.281 ms 10.796 ms *
3 * * *
4 2a01:cfc4:0:2000::3 (2a01:cfc4:0:2000::3) 23.531 ms * *
5 text-lb.esams.wikimedia.org (2a02:ec80:300:ed1a::1) 38.410 ms 39.434 ms 39.939 ms
Une requete normale :
root@gate:~ # traceroute6 www.internet.nl -I
traceroute to www.internet.nl (2a00:d00:ff:162:62:204:66:10), 30 hops max, 80 byte packets
1 2a01:cb1d:5:af00:c2d7:aaff:fec0:f839 (2a01:cb1d:5:af00:c2d7:aaff:fec0:f839) 0.480 ms 0.789 ms *
2 2a01cb08a00402110193025300750130.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:75:130) 9.347 ms * *
3 * * *
4 * * *
5 2a01:cfc4:0:2100::3 (2a01:cfc4:0:2100::3) 20.760 ms 21.173 ms 21.950 ms
6 ae-26.a01.parsfr05.fr.bb.gin.ntt.net (2001:728:0:4000::49) 22.538 ms 15.337 ms 15.837 ms
7 ae-10.r22.parsfr04.fr.bb.gin.ntt.net (2001:728:0:2000::39) 16.846 ms 15.505 ms 16.687 ms
8 ae-1.r23.amstnl07.nl.bb.gin.ntt.net (2001:728:0:2000::1e9) 25.969 ms 26.438 ms 28.134 ms
9 ae-19.a00.amstnl07.nl.bb.gin.ntt.net (2001:728:0:2000::e) 32.570 ms 33.009 ms 33.404 ms
10 xe-1-5-1-0-4070.a00.amstnl07.nl.ce.gin.ntt.net (2001:728:0:5000::e5e) 29.345 ms 29.823 ms 24.662 ms
11 2a00:d00:1:12::2 (2a00:d00:1:12::2) 26.172 ms 31.931 ms 32.003 ms
12 internet.nl (2a00:d00:ff:162:62:204:66:10) 24.831 ms 27.728 ms 29.072 ms
root@gate:~ # whois 2a01:cfc4:0:2000::9
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://docs.db.ripe.net/terms-conditions.html
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '2a01:c000::/20'
% Abuse contact for '2a01:c000::/20' is 'gestionip.ft@orange.com'
inet6num: 2a01:c000::/20
netname: FR-TELECOM-20051230
country: FR
org: ORG-FT2-RIPE
admin-c: AB5579-RIPE
admin-c: ML2808-RIPE
admin-c: PG5119-RIPE
tech-c: BRX1-RIPE
status: ALLOCATED-BY-RIR
mnt-by: RIPE-NCC-HM-MNT
mnt-by: FT-BRX
mnt-routes: FT-BRX
created: 2024-07-22T11:04:09Z
last-modified: 2024-07-22T11:04:09Z
source: RIPE # Filtered
Qui peut me faire un traceroute ?
Dans l’autre sens – du Canada vers la France – le « traceroute6 » est « normal ».
root@lab3w:~ # traceroute6 2a01:cb1d:5:af00:1ab3:126:42:10
traceroute to 2a01:cb1d:5:af00:1ab3:126:42:10 (2a01:cb1d:5:af00:1ab3:126:42:10), 30 hops max, 80 byte packets
1 ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fe) 0.576 ms ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fd) 0.609 ms 0.675 ms
2 2001:41d0:0:50::2:162 (2001:41d0:0:50::2:162) 0.724 ms 2001:41d0:0:50::2:160 (2001:41d0:0:50::2:160) 0.821 ms 2001:41d0:0:50::2:15c (2001:41d0:0:50::2:15c) 0.917 ms
3 2001:41d0:0:50::6:856 (2001:41d0:0:50::6:856) 0.105 ms 2001:41d0:0:50::6:84e (2001:41d0:0:50::6:84e) 0.196 ms 2001:41d0:0:50::6:95e (2001:41d0:0:50::6:95e) 0.123 ms
4 * * *
5 * * *
6 be301.ymq-mtl3-pb2-8k.qc.ca (2001:41d0::2695) 4.117 ms * *
7 * * *
8 motl-b2-v6.ip.twelve99.net (2001:2034:0:14d::1) 1.438 ms 1.388 ms 2001:1900::3:327 (2001:1900::3:327) 8.326 ms
9 nyk-bb5-v6.ip.twelve99.net (2001:2034:1:3::1) 8.568 ms * *
10 * 2a01:cb1d:5:af00:1ab3:126:42:10 (2a01:cb1d:5:af00:1ab3:126:42:10) 105.879 ms 106.574 ms
root@lab3w:~ # traceroute6 2a01:cb1d:5:af00:1ab3:126:42:10
traceroute to 2a01:cb1d:5:af00:1ab3:126:42:10 (2a01:cb1d:5:af00:1ab3:126:42:10), 30 hops max, 80 byte packets
1 ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fd) 0.904 ms ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fe) 0.512 ms ovh.ipv10.net (2607:5300:60:93ff:ff:ff:ff:fd) 0.984 ms
2 2001:41d0:0:50::2:162 (2001:41d0:0:50::2:162) 0.797 ms 2001:41d0:0:50::2:160 (2001:41d0:0:50::2:160) 0.752 ms 0.890 ms
3 2001:41d0:0:50::6:84a (2001:41d0:0:50::6:84a) 0.140 ms 2001:41d0:0:50::6:958 (2001:41d0:0:50::6:958) 0.201 ms 2001:41d0:0:50::6:84c (2001:41d0:0:50::6:84c) 0.106 ms
4 * * *
5 * * *
6 * * be301.ymq-mtl3-pb1-8k.qc.ca (2001:41d0::2693) 2.901 ms
7 * * *
8 motl-b2-v6.ip.twelve99.net (2001:2034:0:14d::1) 1.515 ms * 2001:1900::3:327 (2001:1900::3:327) 8.345 ms
9 * * 2001:688:0:4::1f1 (2001:688:0:4::1f1) 83.743 ms
10 * * *
11 * port-channel8073.ccr91.dca04.atlas.cogentco.com (2001:550:0:1000::9a36:aa45) 13.605 ms port-channel4188.ccr92.dca04.atlas.cogentco.com (2001:550:0:1000::9a36:1e79) 13.747 ms
12 * * *
13 * * *
14 * * 2001:550:3::206 (2001:550:3::206) 92.764 ms
15 * * *
16 * * 2a01:cfc4:0:2100::2 (2a01:cfc4:0:2100::2) 99.389 ms
17 * * *
18 * * 2a01cb08a00402110193025300770134.ipv6.abo.wanadoo.fr (2a01:cb08:a004:211:193:253:77:134) 102.951 ms
19 * * *
20 * * *
21 * * *
22 * 2a01:cb1d:5:af00:1ab3:126:42:10 (2a01:cb1d:5:af00:1ab3:126:42:10) 100.340 ms 97.925 ms
C’est crade, et techniquement pas fiable. C’est l’équivalent de faire tenir son pot d’échappement avec du chewing gum
@Zargos, j’ai « niké – bon c’est faux » tout mon serveur avec ces changement de protocoles de communication !!
Je reboot toute la machine dans quelques secondes → 537 jours d’uptime…
Je sent que les sites @ZW3B @LAB3W.ORJ ne vont plus répondre… (tiens, j’ai une question substantielle).
Les « backends » locaux à cette machine n’envoient plus rien aux « frontends » ; toutes les datas sont récupérées via StrongSwanv6 PQ dans mon serveur « backend » AT home en France…
C’est complet, la galère…
C’est souvent ce qui arrive avec les usines à gaz 
Bon, j’ai reboot toute la machine et par malheur ;
çà fait la même chose, les VM QEMU ne chargent plus la mémoire vive comme dans le temps (y’a 500 jours…),
je demande 16 GIG / VM… et 16 GIG pour l’hôte sur un total de 64G pour toute la machine.
J’ai essayé le « ballooning de la RAM » (mini 12G sur 16G / VM) mais çà ne fonctionne pas mieux, çà ne charge pas les 12 comme expliqué.
C’était très bien avant, çà fonctionne à la perfection. Je ne sais pas ce qu’ils m’ont fait ; mais c’est la galère.
Et, en lançant une VM, j’ai au total, 4GIG de DDR ECC utilisée… et mes pages s’affichent en 120 secondes… au lieu de 3 secondes…
J’ai un vieux Proxmox VE 6.4.15 :
https://ww1.zw3b.fr/about/ → « SRV.CA » sur la VM QEMU « LB1 » container LXC « WW1 » 1,42 GIG/16
https://ww2.zw3b.fr/about/ → « SRV.CA » sur la VM QEMU « LB2 » container LXC « WW2 » 1,04 GIG/16
J’ai un Proxmox VE 8.3.3 :
A propos * ZW3B.FR :-: Le Web XXI → « SRV.FR » sur la VM QEMU « LB1 » container LXC « WW1 » 1,05 GIG/16 - mais, j’avoue il y que apache2 PHP-PFM pour les youXor.com &compagnies et les « ww3 » et un MySQL dans son « LinuXContainer ».
Et pourtant le « .com » fonctionne bien (ou pas)… (www, 1, 2, 3) ; et le « .tv » aussi.
Et sur le frontal (du coup j’ai activé que le frontal du Canada) pour A propos * ZW3B.FR :-: Le Web XXI - de chez moi çà me retourne « Service Unavailable » - je vais craquer !
Note de Moi-même : Si, toi garçon ou fille de « LaFibre.info » vous allez réussir à me faire « ré-installer » la dernière version de Proxmox VE.
Grosse mission, entre les « backends » et le serveur de mail…
C’est pas une usine à gaz – c’est un site, un « engine » de plusieurs sites web !
C’est comme çà ??? çà sort d’où ? IL n’y a pas de « Gateway » ; elle vient d’où cette erreur !!!
root@lab3w:~ # host ww2.zw3b.fr
ww2.zw3b.fr has IPv6 address 2607:5300:60:9389:15:2:a:10
.
PS : « Ils (je n’sais pas trop qui) » nous ont laissé ZW3B.TV c’est déjà çà et la Hompage ZW3B.FR !
Bon je vais aller me pinter au bar pour parler français et mettre tous les dossiers sur la table !!
Sinon comme avant, quand @ZW3B fonctionnaient j’aurais dit : « Au Café Citoyen » qu’l’on se fasse une Task Force !!
Note de Moi-même le 11/02/2025 à 15h GMT+1 :
Pour en revenir au même point ; même les graphs MRTG (les fichiers HTML) sont téléchargés… C’est une horreur ce PHP-FPM.
@CA.LAB3W.SRV - MRTG Index Page et les AWStats !
Il faut faire quelque chose. Ce n’est pas possible comme çà.
Note de Moi-même le 11/02/2025 à 17h15 GMT+1 :
https://www.zw3b.fr - https://howto.zw3b.fr et les autres en « .FR » AT Home…
Est-ce cela fonctionne et rapidement pour vous ? Moi, j’suis en local.
Pour info : Orange_FR Fibre (FTTH) jusqu’à 2 Gbit/s - LiveBox 5 Sagemcom.
Merci.
Tu peux voir les entêtes échangés lors d’une requête web avec une ligne de commande telle que :
curl -s -v -o /dev/null 'https://www.zw3b.fr/' 2>&1 | grep '^[<>] '
Si le serveur ne renvoie pas d’entête content-type valant text/html comme ci-dessous, il est logique que ton navigateur web propose d’enregistrer le résultat de la requête dans un fichier plutôt que de l’afficher.
content-type: text/html; charset=UTF-8
–
AnonymousCoward
1 J'aime
Si le principal problème est qu’un serveur web Apache2 renvoie le code PHP tel quel au lieu de l’exécuter, il faut que tu vérifies :
Le fichier /etc/apache2/conf-available/php8.2-fpm.conf . Ne pas hésiter à réinstaller le package pour retrouver celui d’origine.
Si le service php8.2-fpm.service est actif.
–
AnonymousCoward
1 J'aime
Ok merci @AnonymousCoward pour les En-têtes Content-type ^^ ce n’est pas bête je vérifierais…
C’est vrai que depuis que j’ai installé « php-fpm » mes pages « html » d’un dump du premier mail de chaque « mailing » ne me sortait pas l’UTF-8 (je n’avais pas entouré mon code des balises <html><head><meta type=="" /></head><body>[...]</body></html>… Je créais simplement, le corps (en pensant que dans le « webmail client », il y avait déjà la balise d’ouverture et fermeture « html ». Et, donc, le dump « HTML » sur le lien de newsletters disant « Cliquez ici pour voir la version HTML » se retrouve « non UTF-8 » - Et pourtant le Charset du serveur Apache est bien configuré.
Pour celles et ceux qui arrivent à suivre.
Note de Moi-même : 12/02/2025 à 15h :
Je me contredis, j’ai l’impression ; Je pensais à çà cette nuit :
→ sur les pages HTML de la « mailing », j’avais des problèmes d’accents (l’UTF-8 de la config du serveur n’est pas prise en compte), j’ai dû ajouté seulement le « méta-tags content-type UFT-8 » au fichier html pour que les accents s’affiche normalement ;
→ Et, sur certaines autres pages « HTML » ; elles sont carrément téléchargées par le navigateur à l’ouverture d’une URL.PHP-FPM lit les pages HTML ou bien ; donc comme me signale @AnonymousCoward c’est sûrement un problème de déclaration du bon Content-type…
@+
J’ai « balancé » (c’est le cas de l’dire) tous les sites @ZW3B sur mon I9-9900k à la maison – par contre çà RAME complétement, je trouve.
Donnez moi votre géoloc Ok ; on est pas sur LaFibre.info, France, Orange_FR ou autres ?
P’tite config DNS
root@fr.srv.lab3w.com:~ # host zw3b.fr
zw3b.fr has address 90.5.102.244
zw3b.fr has IPv6 address 2a01:cb1d:5:af00:1ab3::1
zw3b.fr mail is handled by 10 smtp.zw3b.fr.
root@fr.srv.lab3w.com:~ # host www.zw3b.fr
www.zw3b.fr has address 90.5.102.244
www.zw3b.fr has IPv6 address 2a01:cb1d:5:af00:1ab3::1
root@fr.srv.lab3w.com:~ # host wwwwwwwwwwww.zw3b.fr
wwwwwwwwwwww.zw3b.fr is an alias for web.zw3b.fr.
web.zw3b.fr has address 135.125.133.51
web.zw3b.fr has address 158.69.126.137
web.zw3b.fr has address 57.128.171.43
web.zw3b.fr has address 90.5.102.244
web.zw3b.fr has IPv6 address 2a01:cb1d:5:af00:1ab3::1
web.zw3b.fr has IPv6 address 2607:5300:60:9389::1
web.zw3b.fr has IPv6 address 2001:41d0:701:1100::6530
web.zw3b.fr has IPv6 address 2001:41d0:801:2000::44f9
Je n’ai pas réinstaller - j’ai juste checker le BIOS de ma carte mère ; sans réinstaller d’une install avec un processeurs I3 … et/où j’ai bien peur que ce i9 soit mort.
4 de charge avec « 5 sites ».
C’est fou…
Ciao.
PS : J’espère que Orange_FR a un Anti-DDOS sur son réseau pour ses abonnés 
Cà arrive régulièrement les attaques (OVH bloque çà), au moins une 6 fois par an.
Thiouss !
J’ajoute un -L Maj à curl pour suivre les « rewrite, redirections HTTP » Bonne journée.
root@lb2.ww2:~ # curl -s -L -v -o /dev/null 'http://zw3b.fr/' 2>&1 | grep '^[<>] '
> GET / HTTP/1.1
> Host: zw3b.fr
> User-Agent: curl/7.88.1
> Accept: */*
>
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 12 Feb 2025 14:08:36 GMT
< Server: Apache
< Strict-Transport-Security: max-age=31536000; includeSubDomains;
< Location: http://www.zw3b.fr/
< Content-Length: 227
< Content-Type: text/html; charset=iso-8859-1
<
> GET / HTTP/1.1
> Host: www.zw3b.fr
> User-Agent: curl/7.88.1
> Accept: */*
>
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 12 Feb 2025 14:08:36 GMT
< Server: Apache
< Strict-Transport-Security: max-age=31536000; includeSubDomains;
< Location: https://www.zw3b.fr/
< Content-Length: 228
< Content-Type: text/html; charset=iso-8859-1
<
> GET / HTTP/2
> Host: www.zw3b.fr
> user-agent: curl/7.88.1
> accept: */*
>
< HTTP/2 200
< strict-transport-security: max-age=31536000; includeSubDomains;
< expires: Thu, 19 Nov 1981 08:52:00 GMT
< cache-control: private, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< pragma: no-cache
< x-frame-options: deny
< x-zw-head: ZW3B.Networks D=4745548 t=1739369316684020
< x-zw-backnode: ww1.lb1.lab3w.com
< x-zw-lb-ipv4: 90.5.102.244
< x-zw-lb-ipv6: 2a01:cb1d:5:af00:1ab3:126:42:10
< x-zw-lb-name: fr.lb1.ww1
< referrer-policy: strict-origin-when-cross-origin
< content-type: text/html; charset=UTF-8
< date: Wed, 12 Feb 2025 14:08:36 GMT
< server: Apache
< set-cookie: lang=FR; expires=Fri, 14 Mar 2025 14:08:36 GMT; Max-Age=2592000; path=/; domain=.www.zw3b.fr
< set-cookie: PHPSESSID=vfj3cdati692ftpufudsik06u0; path=/
< set-cookie: theme=light; expires=Thu, 12 Feb 2026 14:08:36 GMT; Max-Age=31536000; path=/; domain=.www.zw3b.fr
< vary: Accept-Encoding
< x-content-type-options: nosniff
< x-forwarded-server: srv.fr.lab3w.com
< x-forwarded-for: 2607:5300:60:9389:15:2:a:10
< x-forwarded-host: (null)
< set-cookie: ROUTEID=.ww1.lb1.lab3w.com; path=/
@+
Cf : Considérations « Internet.nl »
Load balancer d’IP over DNS for services HTTP
Je vous ajoute cet article qui date un peu, mais qui est très intéressant :
/!\
Je crois que la raison que cela ne fonctionne plus (et pourtant çà fonctionnait bien au début de ma config « frontends » et" backends" HTTP/2).
J’ai l’impression que depuis moins de 2 semaines (parce que le jour et pendant la semaine quia suivis (mon commentaire ici, le HTTP/2 fonctionnait très bien) - quelque chose à changer (et pas dans la doc).
Sur la doc Apache mod_proxy_http2 - Apache HTTP Server Version 2.5
Il explique cela ; en spécifiant que la variable « ProxyPassReverse » doit être laissé à « https:// »
ProxyPass "/app" "h2://app.example.com"
ProxyPassReverse "/app" "https://app.example.com"
Par contre sur la page « Guide de configuration d’un mandataire inverse » mod reverse_proxy - Apache Reverse Proxy Guide - Apache HTTP Server Version 2.5 on configure « balancer:// » à la variable « ProxyPass » et « ProxyPassReverse » et « h2:// » sur les « membres ».
<Proxy balancer://myset>
BalancerMember h2://www1.example.com:8080
BalancerMember h2://www2.example.com:8080
# lbmethod = byrequests bytraffic bybusyness heartbeat
ProxySet lbmethod=bybusyness
</Proxy>
ProxyPass "/" "balancer://myset/"
ProxyPassReverse "/" "balancer://myset/"
Et là, depuis quelques jours on dirait que les « backends » qui tournent avec PHP-FPM ne veulent pas rendre la réponse aux « frontaux », je suis presque sûr que cela vient de « proxy_fcgi » sur les « backends ».
Que les mecs de PHP-PFM se sont loupés quelque part, ci-dessus
Qui peut réparer cela, merci.
@+
Romain.
le lien a un certificat expiré. Donc on ne risque pas d’aller le regarder.
Clic sur « faire confiance au site dangereux » … çà ne me semble pas trop risqué.
Et, surtout, Faites que de lire - et, n’ajoutez pas de données personnelles, du style coordonnées bancaires etc
Sûrement pas c’est justement là qu’est le plus gros risque.
Et je n’ai pas pour habitude de me tirer une balle dans le pied; surtout pour aller lire une potentielle usine à gaz.
root@lb1.w1a:~ # curl -v -s --http2 -o /dev/null https://ww3.zw3b.tv/music/deep-house/UCwzwODzBxzW_Cg1LrZWauyw#ZqJg5VJoIfI | grep '^[<>] '
* Trying 2a01:cb1d:5:af00:1ab3:126:42:10...
* TCP_NODELAY set
* Connected to ww3.zw3b.tv (2a01:cb1d:5:af00:1ab3:126:42:10) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [122 bytes data]
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
{ [19 bytes data]
* TLSv1.3 (IN), TLS handshake, Certificate (11):
{ [2099 bytes data]
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
{ [111 bytes data]
* TLSv1.3 (IN), TLS handshake, Finished (20):
{ [52 bytes data]
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
} [1 bytes data]
* TLSv1.3 (OUT), TLS handshake, Finished (20):
} [52 bytes data]
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=zw3b.tv
* start date: Dec 16 09:39:15 2024 GMT
* expire date: Mar 16 09:39:14 2025 GMT
* subjectAltName: host "ww3.zw3b.tv" matched cert's "ww3.zw3b.tv"
* issuer: C=US; O=Let's Encrypt; CN=E6
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
} [5 bytes data]
* Using Stream ID: 1 (easy handle 0x55936636bd60)
} [5 bytes data]
> GET /music/deep-house/UCwzwODzBxzW_Cg1LrZWauyw HTTP/2
> Host: ww3.zw3b.tv
> User-Agent: curl/7.64.0
> Accept: */*
>
{ [5 bytes data]
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
{ [57 bytes data]
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
{ [57 bytes data]
* old SSL session ID is stale, removing
{ [5 bytes data]
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
} [5 bytes data]
< HTTP/2 200
< expires: Thu, 19 Nov 1981 08:52:00 GMT
< cache-control: private, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< pragma: no-cache
< x-frame-options: deny
< set-cookie: lang=FR; expires=Fri, 14 Mar 2025 17:13:09 GMT; Max-Age=2592000; path=/; domain=.ww3.zw3b.tv
< set-cookie: PHPSESSID=dsghjqgctqqm7tqlidd8a7lh4i; path=/
< set-cookie: cv=id1544V1; expires=Thu, 13 Feb 2025 17:14:25 GMT; Max-Age=86400; path=.ww3.zw3b.tv
< x-zw-head: ZW3B.Networks D=76525670 t=1739380389170355
< x-zw-backnode: ww1.lb1.lab3w.com
< x-zw-lb-ipv4: 90.5.102.244
< x-zw-lb-ipv6: 2a01:cb1d:5:af00:1ab3:126:42:10
< x-zw-lb-name: fr.lb1.ww1
< referrer-policy: strict-origin-when-cross-origin
< x-frame-options: sameorigin
< content-type: text/html; charset=UTF-8
< date: Wed, 12 Feb 2025 17:13:09 GMT
< server: Apache
<
{ [15837 bytes data]
* Connection #0 to host ww3.zw3b.tv left intact
Ma configuration Apache2 Proxy Balancer reverse HTTP/2
Normalement celle-ci fonctionne, pour ceux et celles qui voudraient essayer :
Je vous envoie ma/mes configs « par default » Apache2 (sans modification des modules) :
Sur les backends (serveurs d’arrière plan) :
- mpm_event
- http2
- proxy
- proxy_fcgi
- php8.2-fpm
- expires, headers, rewrite et compagnies.
Avec sur le « frontal » la config d’un Virtual-Host ci-dessous et tout fonctionnait y’a 10 jours.
Sur le Frontal (serveur d’extrémité avant) :
- mpm_event
- http2
- proxy
- proxy_balancer
- proxy_hcheck
- lbmethod_bybusyness
- lbmethod_byrequests
- lbmethod_bytraffic
- proxy_http2
- proxy_connect
- expires, headers, rewrite et compagnies.
Pas de PHP sur mon « frontal »…
cat /etc/apache2/sites-enabled/www.zw3b.tv.conf
<VirtualHost [2001:41d0:701:1100::6530]:80 135.125.133.51:80>
ServerName www.zw3b.tv
ServerAlias zw3b.tv
#ServerAlias ww1.zw3b.tv ww2.zw3b.tv
#ServerAlias ww3.zw3b.tv wwd.zw3b.tv
ServerAlias *.zw3b.tv
ServerAdmin hostmaster@zw3b.tv
# LOGS -----------------------------------------
ErrorLog /var/log/apache2/www.zw3b.tv.error.log
Customlog /var/log/apache2/www.zw3b.tv.access.log combined
LogLevel warn
# Header set "X-Proxy-Server" "vps.de.ipv10.net"
# Header unset "Content-Type"
RewriteEngine On
# RewriteCond %{HTTP_HOST} !^zw3b\.tv$ [NC,OR]
# RewriteCond %{HTTP_HOST} ^zw3b\.tv$ [NC]
# RewriteCond %{HTTPS} off
# RewriteRule ^(.*) https://%{HTTP_HOST}/%1 [R=301,L]
RewriteCond %{HTTP_HOST} !^(zw3b.tv)$ [NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{0}/%1 [R=301,L]
RewriteCond %{HTTP_HOST} ^zw3b\.tv$ [NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{HTTP_HOST}/%1 [R=301,L]
RewriteCond %{HTTP_HOST} ^www\.zw3b\.tv$ [NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{HTTP_HOST}/%1 [R=301,L]
</VirtualHost>
C’est le bordel mon rewrite HTTP → HTTPs – des tests.
<IfModule mod_ssl.c>
<VirtualHost [2001:41d0:701:1100::6530]:443 135.125.133.51:443>
ServerName www.zw3b.tv
ServerAlias zw3b.tv
#ServerAlias ww1.zw3b.tv ww2.zw3b.tv
#ServerAlias ww3.zw3b.tv wwd.zw3b.tv
ServerAlias *.zw3b.tv
ServerAdmin hostmaster@zw3b.tv
# LOGS -----------------------------------------
ErrorLog /var/log/apache2/www.zw3b.tv.error.log
Customlog /var/log/apache2/www.zw3b.tv.access.log combined
LogLevel warn
# STATUS ---------------------------------------
<IfModule mod_status.c>
# Allow server status reports generated by mod_status,
# with the URL of http://servername/server-status
# Uncomment and change the "192.0.2.0/24" to allow access from other hosts.
<Location /server-status>
SetHandler server-status
# Require local
#Require ip 192.0.2.0/24
Require all granted
# Require ip 2607:5300:60:9389:58:e:f:661
Order deny,allow
Deny from all
Allow from 109.210.56.240
Allow from 83.159.31.116
Allow from 135.125.133.51
Allow from dalmas.lab3w.fr
Allow from 2607:5300:60:9389:58:e:f:660
# Allow from all
</Location>
# Determine if mod_status displays the first 63 characters of a request or
# the last 63, assuming the request itself is greater than 63 chars.
# Default: Off
#SeeRequestTail On
</IfModule>
# QOS ------------------------------------------
<IfModule mod_qos.c>
<Location /qos>
SetHandler qos-viewer
Require all granted
Order deny,allow
Deny from all
Allow from 109.210.56.240
Allow from 83.159.31.116
Allow from 135.125.133.51
Allow from dalmas.lab3w.fr
Allow from 2607:5300:60:9389:58:e:f:660
</Location>
</IfModule>
# BALANCER -------------------------------------
<IfModule mod_proxy.c>
# Show Proxy LoadBalancer status in mod_status
ProxyStatus On
ProxyPreserveHost On
ProxyRequests Off
ProxyVia Block
# Header set "X-XXXXX" %s
# Header set "X-date" %t
# Header set "X-time-req" %D
Header set "X-Forwarded-Server" "vps.de.ipv10.net"
Header set "X-Forwarded-For" %{REMOTE_ADDR}s
Header set "X-Forwarded-Host" %{HTTP_HOST}s
# Header set "X-Forwarded-Protocol" %{SERVER_PROTOCOL}s
# Header set "X-Forwarded-Ssl" %{HTTPS}s
# Header set "X-Url-Scheme" %{REQUEST_SCHEME}s
# SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
# On fait du proxy vers un autre serveur en https
SSLProxyEngine On
# Disable SSLProxyCheck
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
</IfModule>
# Test status server équipier
# https://httpd.apache.org/docs/trunk/mod/mod_proxy_hcheck.html
ProxyHCExpr ok234 {%{REQUEST_STATUS} =~ /^[234]/}
ProxyHCExpr gdown {%{REQUEST_STATUS} =~ /^[5]/}
ProxyHCExpr in_maint {hc('body') !~ /Under maintenance/}
# Balancer
<Proxy balancer://zw3bCluster/>
Require all granted
# CA
# BalancerMember h2://[fc00:5300:60:9389:15:1:a:10] loadfactor=1 hcmethod=HEAD hcexpr=ok234 hcinterval=5 hcpasses=2 hcfails=3 connectiontimeout=30 timeout=60 retry=10 route=ww1.lb1.ipv10.net
BalancerMember h2://[fc00:5300:60:9389:15:1:a:10] loadfactor=1 hcmethod=TCP hcinterval=5 hcpasses=2 hcfails=3 connectiontimeout=30 timeout=60 retry=10 route=ww1.lb1.ipv10.net
BalancerMember h2://[fc00:5300:60:9389:15:2:a:10] loadfactor=1 hcmethod=TCP hcinterval=5 hcpasses=2 hcfails=3 connectiontimeout=30 timeout=60 retry=10 route=ww2.lb2.ipv10.net
# FR PVE
BalancerMember h2://[fc01::10:126:42:10] loadfactor=1 hcmethod=TCP hcinterval=5 hcpasses=2 hcfails=3 status=+R connectiontimeout=30 timeout=60 retry=10 route=ww1.lb1.lab3w.com
# FR DC
# BalancerMember h2://[fc01::10:106:42:10] loadfactor=1 hcmethod=TCP hcinterval=5 hcpasses=2 hcfails=3 status=+H connectiontimeout=30 timeout=60 retry=10 route=w3a.dc.lab3w.fr
# La ligne suivante configure le serveur cible de réserve - D=Desactiver - S=Stoper - I=erruerus ignorees - H=Interuption a chaud - E=Errueur
# BalancerMember ajp://1.2.3.6:8009 status=+H
ProxySet stickysession=ROUTEID
# lbmethod = byrequests bytraffic bybusyness heartbeat
ProxySet lbmethod=bybusyness
</Proxy>
Header add Set-Cookie "ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/"
<IfModule mod_proxy_balancer.c>
<Location /balancer-manager>
SetHandler balancer-manager
Require all granted
#Options MultiViews FollowSymLinks -Indexes
Options MultiViews FollowSymLinks
# AllowOverride All AuthConfig
Order deny,allow
Deny from all
Allow from 109.210.56.240
Allow from 83.159.31.116
Allow from 135.125.133.51
Allow from dalmas.lab3w.fr
Allow from 2607:5300:60:9389:58:e:f:660
Allow from all
</Location>
</IfModule>
# Alias /var /var/pro/web_sites/zw3b_tv/www/web/var
# <Location /var>
# Require all granted
# Options MultiViews FollowSymLinks
# </Location>
# ProxyPass /var !
ProxyPass /server-status !
ProxyPass /balancer-manager !
# ProxyPass /pub/mrtg(.*) !
# ProxyPass /pub(.*) !
ProxyPass / balancer://zw3bCluster/
ProxyPassReverse / balancer://zw3bCluster/
# Balancer
SSLEngine On
# SSLProtocol -all +SSLv2
# SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
# SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/ssl/letsencrypt/zw3b.tv_ecc/fullchain.cer
SSLCertificateKeyFile /etc/ssl/letsencrypt/zw3b.tv_ecc/zw3b.tv.key
SSLCACertificateFile /etc/ssl/letsencrypt/zw3b.tv_ecc/ca.cer
</VirtualHost>
</IfModule>
Cà devrait marcher du tonnerre de Dieu !!!
16GIG de RAM pour chaque « backends » pour un serveur Web c’est bien.
@+
Bonne soirée.
- Source : La page « Guide de configuration d’un mandataire inverse » mod reverse_proxy - Apache Reverse Proxy Guide - Apache HTTP Server Version 2.5
Config « 6 » : strongSwan – IPv6 ULA (only) :
J’ai posté une question : I’m trying to retrieve the correct NMAP responses through strongSwan from « site » to « site ». · strongswan/strongswan · Discussion #2669 · GitHub
N’oublions pas ; la doc de Guiguiabloc.
Pourquoi « Firefox Nightly » voit le certificats SSL/TLS d’hier ?
Et, de ce fait, le plugin DANE/DNSSEC voit qu’il y a un problème - Il me signale que l’entité « www » est ; comme en tentative d’usurpation !!
Vu que j’ai sécurisé mes « entité applicative » par la sécurité DANE / TLSA qui s’appuie sur la sécurisation « par pair » entre "la sécurité SSL standard sur le procotole HTTPS et le nom de domaine sécurisé par DNSEC.
Que se passe t’il sur Internet ?
Extension / plugin Index of /pub/screens → extension-firefox-dnssec-dane-validator@defkev (dot) xpi
Est-ce que tu trouves la réponse ci-dessous ?
$ ./chk_certs.bash www.zw3b.tv 443
-----
server 158.69.126.137
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 90.5.102.244
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 57.128.171.43
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 135.125.133.51
Validity
Not Before: Dec 16 09:39:15 2024 GMT
Not After : Mar 16 09:39:14 2025 GMT
-----
server 2001:41d0:801:2000::44f9
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 2a01:cb1d:5:af00:1ab3::1
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 2607:5300:60:9389::1
Validity
Not Before: Feb 13 10:15:32 2025 GMT
Not After : May 14 10:15:31 2025 GMT
-----
server 2001:41d0:701:1100::6530
Validity
Not Before: Dec 16 09:39:15 2024 GMT
Not After : Mar 16 09:39:14 2025 GMT
–
AnonymousCoward