Anomalie #1295
SQUID - pb d'accès aux réseaux internes
Description
Nous avons rencontré un problème d'accès à un site web hébergé sur une machine en DMZ depuis une machine pédagogique.
(Pas de problème pour y accéder depuis une machine admin.)
Après avoir analysé le fichier squid.conf, je me suis aperçu que ce qui posait problème était l'Accès RVP par le proxy
Dans la config, on a :
adresse_network_zone_rvp : 10.0.0.0 | 172.16.0.0 | 192.168.0.0 | 161.48.0.0
adresse_netmask_zone_rvp : 255.0.0.0 | 255.240.0.0 | 255.255.0.0 | 255.255.224.0
autoriser_rvp_autres : non | non | non | non
or la machine hébergée en dmz a comme adresse 10.154.210.1 qui 'matche' avec le premier réseau de la zone RVP.
Hors les acls "connexion aux reseaux internes" sont placées APRÈS les acl "rvp".
et par conséquence, l'accès à la machine en dmz est refusée depuis toutes machines autres que celles du réseau admin.
Pour corriger le problème, il serait nécessaire de placer les acls "connexion aux reseaux internes" sont placées AVANT les acl "rvp".
Demandes liées
Historique
#1 Mis à jour par Samuel LEFOL il y a plus de 13 ans
Évidemment, je voulais parler des http_access et non des acls.
#2 Mis à jour par Samuel LEFOL il y a plus de 13 ans
Pour corriger le problème, j'ai donc ajouté AVANT les http_access générées pour l'accès aux réseaux de la zone RVP :
http_access allow %%nom_machine_eth2 reseaueth3_3
http_access allow %%nom_machine_eth2 reseaueth3_4
Je pense qu'il est nécessaire de faire plus propre pour ajouter l'accès aux réseaux internes depuis tous les autres réseaux internes
Pour moi, en tenant compte de mon modèle ERA
(level: admin(eth1):50, pedago(eth2):40, privdmz(eth3.4): 30 et pubdmz(eth3.3):20),
ça donne :
- admin accède à tout.
- péda accèdent à reseaueth3_3 et reseaueth3_4
#3 Mis à jour par Samuel LEFOL il y a plus de 13 ans
- Fichier squid.conf.patch Voir ajouté
Vous trouverez ci-joint un patch qui corrige le problème.
Modification de la section "## connexion aux reseaux internes" :
- ajout des http_access pour les réseaux VLANs
- section placée AVANT les http_access deny pour l'accès aux réseaux rvp.
Rq: Ce patch inclue également la demande d'Evolution #708 :
Squid - accès domaine sans passer par proxy père
#5 Mis à jour par Joël Cuissinat il y a environ 13 ans
- Version cible mis à Mises à jour 2.2.3 - 01 RC
#6 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Projet changé de Amon à conf-amon
#7 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 0a62ee39995801d4b9f81a89de08364004094276.
#8 Mis à jour par Joël Cuissinat il y a presque 13 ans
Appliqué par commit 98b6b7d8dd6ed11983d82b3456c632394ea6caea.
#9 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Statut changé de Résolu à Fermé
conf-amon 2.2-eole220~2