Tâche #16148
Scénario #16215: Traitement express (22-24)
Accès EAD sur eth0 depuis le réseau pédagogique malgré interdiction
Description
Nous avons constaté sur Amon 2.5.1 et 2.5.2 qu'avec le proxy il est possible d'accèder à l'EAD de l'Amon sur son interface eth0 depuis le réseau pédagogique.
il doit probablement y avoir un soucis dans les acl de squid
c'est reproductible avec le modèle de base 4zones.xml.
Associated revisions
ne pas autoriser l'accès à l'EAD sur l'interface eth0 (ref #16148 @1h)
Modification des acl du proxy
- to_localhost : adresse_ip_ethX_proxy_link ou adresse_ip_ethX
- localhostethX : adresse_ip_ethX
Ref: #16148 @2h
History
#1 Updated by Fabrice Barconnière over 7 years ago
- Tracker changed from Demande to Tâche
- Estimated time set to 2.00 h
- Parent task set to #16058
- Remaining (hours) set to 2.0
#2 Updated by Emmanuel GARETTE over 7 years ago
- Assigned To set to Emmanuel GARETTE
- % Done changed from 0 to 90
Je ne peux pas dire a partir de quelle version le problème existe mais en effet il est possible d'acccéder à l'EAD de l'Amon sur eth0.
La correction est faite sur master et commit fait à partir de 2.4.0.
A décider sur quelle version on diffuse.
#3 Updated by Joël Cuissinat over 7 years ago
- Status changed from Nouveau to En cours
- % Done changed from 90 to 50
- Parent task changed from #16058 to #16215
- Remaining (hours) changed from 2.0 to 1.5
La correction appliquée n'est pas correcte pour AmonEcole !
Erreur: Utilisation d'une variable non existante dans le template de /etc/squid/common-squid1.conf : adresse_ip_eth0_proxy_link
<gnunux> il y a un soucis dans le mode conteneur
<gnunux> l'acl "acl localhosteth%%{interface} dst %%adresse_ip_eth/32" est foireuse en mode conteneur
<gnunux> ca devrait être adresse_ip_ethX mais pas adresse_ip_ethX_bidule_link
<gnunux> par contre c'est bien adresse_ip_eth pour l'acl to_localhost
#4 Updated by Scrum Master over 7 years ago
- Assigned To changed from Emmanuel GARETTE to Daniel Dehennin
#5 Updated by Scrum Master over 7 years ago
- Assigned To deleted (
Daniel Dehennin)
#6 Updated by Scrum Master over 7 years ago
- Status changed from En cours to Nouveau
#7 Updated by Scrum Master over 7 years ago
- Status changed from Nouveau to En cours
#8 Updated by Karim Ayari over 7 years ago
si j'utilise le fichier modifié je n'ai plus de navigation internet, ça tourne dans le vide (testé depuis le réseau administratif)
#9 Updated by Joël Cuissinat over 7 years ago
- Assigned To set to Joël Cuissinat
#10 Updated by Scrum Master over 7 years ago
- Status changed from En cours to Résolu
#11 Updated by Karim Ayari over 7 years ago
j'ai retrouvé la navigation internet et l'accès à l'ead sur eth0 n'est plus possible.
merci ;)
#12 Updated by Fabrice Barconnière over 7 years ago
- Status changed from Résolu to En cours
J'accède toujours à l'EAD depuis un poste pedago avec proxy alors que l'admin est désactivée depuis la pedago (sur les VM d'etb1, Amon+Scribe+pcprof-lxde) en ajoutant l'adresse IP du pcprof dans /etc/squid3/src_noauth_user
Pareil avec le proxy 3127 sans toucher à /etc/squid3/src_noauth_user
#13 Updated by Fabrice Barconnière over 7 years ago
- Status changed from En cours to Résolu
- % Done changed from 50 to 100
- Remaining (hours) changed from 1.5 to 0.0
Après avoir réussi à faire marchoter squid en 2.6.0 :
OK sur Amon et Amonecole 2.6.0.
#14 Updated by Fabrice Barconnière over 7 years ago
- Status changed from Résolu to Fermé