Project

General

Profile

Anomalie #1295

SQUID - pb d'accès aux réseaux internes

Added by Samuel LEFOL over 10 years ago. Updated almost 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
12/14/2010
Due date:
% Done:

100%

Spent time:
Distribution:

Description

Nous avons rencontré un problème d'accès à un site web hébergé sur une machine en DMZ depuis une machine pédagogique.
(Pas de problème pour y accéder depuis une machine admin.)

Après avoir analysé le fichier squid.conf, je me suis aperçu que ce qui posait problème était l'Accès RVP par le proxy
Dans la config, on a :
adresse_network_zone_rvp : 10.0.0.0 | 172.16.0.0 | 192.168.0.0 | 161.48.0.0
adresse_netmask_zone_rvp : 255.0.0.0 | 255.240.0.0 | 255.255.0.0 | 255.255.224.0
autoriser_rvp_autres : non | non | non | non

or la machine hébergée en dmz a comme adresse 10.154.210.1 qui 'matche' avec le premier réseau de la zone RVP.
Hors les acls "connexion aux reseaux internes" sont placées APRÈS les acl "rvp".
et par conséquence, l'accès à la machine en dmz est refusée depuis toutes machines autres que celles du réseau admin.

Pour corriger le problème, il serait nécessaire de placer les acls "connexion aux reseaux internes" sont placées AVANT les acl "rvp".

squid.conf.patch View (1.73 KB) Samuel LEFOL, 01/06/2011 10:56 AM


Related issues

Duplicated by conf-amon - Evolution #1660: permettre un accès aux pages web interne par le proxy de l'amon Fermé 04/08/2011

Associated revisions

Revision 0a62ee39 (diff)
Added by Joël Cuissinat almost 10 years ago

squid.conf : intégration du patch proposé pour l'accès aux réseaux internes et le contournement du cache père (fixes #1295, fixes #708)

Revision 98b6b7d8 (diff)
Added by Joël Cuissinat almost 10 years ago

squid.conf : correction pour l'accès aux réseaux internes [2.3] (fixes #1295)

History

#1 Updated by Samuel LEFOL over 10 years ago

Évidemment, je voulais parler des http_access et non des acls.

#2 Updated by Samuel LEFOL over 10 years ago

Pour corriger le problème, j'ai donc ajouté AVANT les http_access générées pour l'accès aux réseaux de la zone RVP :
http_access allow %%nom_machine_eth2 reseaueth3_3
http_access allow %%nom_machine_eth2 reseaueth3_4

Je pense qu'il est nécessaire de faire plus propre pour ajouter l'accès aux réseaux internes depuis tous les autres réseaux internes
Pour moi, en tenant compte de mon modèle ERA
(level: admin(eth1):50, pedago(eth2):40, privdmz(eth3.4): 30 et pubdmz(eth3.3):20),
ça donne :
- admin accède à tout.
- péda accèdent à reseaueth3_3 et reseaueth3_4

#3 Updated by Samuel LEFOL over 10 years ago

Vous trouverez ci-joint un patch qui corrige le problème.
Modification de la section "## connexion aux reseaux internes" :
- ajout des http_access pour les réseaux VLANs
- section placée AVANT les http_access deny pour l'accès aux réseaux rvp.

Rq: Ce patch inclue également la demande d'Evolution #708 :
Squid - accès domaine sans passer par proxy père

#4 Updated by Luc Bourdot about 10 years ago

  • Assigned To set to Jerome Soyer

Pour avis ?

#5 Updated by Joël Cuissinat about 10 years ago

  • Target version set to Mises à jour 2.2.3 - 01 RC

#6 Updated by Joël Cuissinat almost 10 years ago

  • Project changed from Amon to conf-amon

#7 Updated by Joël Cuissinat almost 10 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#9 Updated by Joël Cuissinat almost 10 years ago

  • Status changed from Résolu to Fermé

conf-amon 2.2-eole220~2

Also available in: Atom PDF