Projet

Général

Profil

Anomalie #1295

SQUID - pb d'accès aux réseaux internes

Ajouté par Samuel LEFOL il y a plus de 13 ans. Mis à jour il y a presque 13 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Jerome Soyer
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.2.3 - 01 RC
Début:
14/12/2010
Echéance:
% réalisé:

100%

Temps passé:
1.00 h
Distribution:

Description

Nous avons rencontré un problème d'accès à un site web hébergé sur une machine en DMZ depuis une machine pédagogique.
(Pas de problème pour y accéder depuis une machine admin.)

Après avoir analysé le fichier squid.conf, je me suis aperçu que ce qui posait problème était l'Accès RVP par le proxy
Dans la config, on a :
adresse_network_zone_rvp : 10.0.0.0 | 172.16.0.0 | 192.168.0.0 | 161.48.0.0
adresse_netmask_zone_rvp : 255.0.0.0 | 255.240.0.0 | 255.255.0.0 | 255.255.224.0
autoriser_rvp_autres : non | non | non | non

or la machine hébergée en dmz a comme adresse 10.154.210.1 qui 'matche' avec le premier réseau de la zone RVP.
Hors les acls "connexion aux reseaux internes" sont placées APRÈS les acl "rvp".
et par conséquence, l'accès à la machine en dmz est refusée depuis toutes machines autres que celles du réseau admin.

Pour corriger le problème, il serait nécessaire de placer les acls "connexion aux reseaux internes" sont placées AVANT les acl "rvp".

squid.conf.patch Voir (1,73 ko) Samuel LEFOL, 06/01/2011 10:56

Demandes liées

Dupliqué par conf-amon - Evolution #1660: permettre un accès aux pages web interne par le proxy de l'amon Fermé 08/04/2011

Révisions associées

Révision 0a62ee39 (diff)
Ajouté par Joël Cuissinat il y a presque 13 ans

squid.conf : intégration du patch proposé pour l'accès aux réseaux internes et le contournement du cache père (fixes #1295, fixes #708)

Révision 98b6b7d8 (diff)
Ajouté par Joël Cuissinat il y a presque 13 ans

squid.conf : correction pour l'accès aux réseaux internes [2.3] (fixes #1295)

Historique

#1 Mis à jour par Samuel LEFOL il y a plus de 13 ans

Évidemment, je voulais parler des http_access et non des acls.

#2 Mis à jour par Samuel LEFOL il y a plus de 13 ans

Pour corriger le problème, j'ai donc ajouté AVANT les http_access générées pour l'accès aux réseaux de la zone RVP :
http_access allow %%nom_machine_eth2 reseaueth3_3
http_access allow %%nom_machine_eth2 reseaueth3_4

Je pense qu'il est nécessaire de faire plus propre pour ajouter l'accès aux réseaux internes depuis tous les autres réseaux internes
Pour moi, en tenant compte de mon modèle ERA
(level: admin(eth1):50, pedago(eth2):40, privdmz(eth3.4): 30 et pubdmz(eth3.3):20),
ça donne :
- admin accède à tout.
- péda accèdent à reseaueth3_3 et reseaueth3_4

#3 Mis à jour par Samuel LEFOL il y a plus de 13 ans

Vous trouverez ci-joint un patch qui corrige le problème.
Modification de la section "## connexion aux reseaux internes" :
- ajout des http_access pour les réseaux VLANs
- section placée AVANT les http_access deny pour l'accès aux réseaux rvp.

Rq: Ce patch inclue également la demande d'Evolution #708 :
Squid - accès domaine sans passer par proxy père

#4 Mis à jour par Luc Bourdot il y a environ 13 ans

  • Assigné à mis à Jerome Soyer

Pour avis ?

#5 Mis à jour par Joël Cuissinat il y a environ 13 ans

  • Version cible mis à Mises à jour 2.2.3 - 01 RC

#6 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • Projet changé de Amon à conf-amon

#7 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#8 Mis à jour par Joël Cuissinat il y a presque 13 ans

#9 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • Statut changé de Résolu à Fermé

conf-amon 2.2-eole220~2

Formats disponibles : Atom PDF