Project

General

Profile

Tâche #16148

Scénario #16215: Traitement express (22-24)

Accès EAD sur eth0 depuis le réseau pédagogique malgré interdiction

Added by Karim Ayari over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
05/18/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Nous avons constaté sur Amon 2.5.1 et 2.5.2 qu'avec le proxy il est possible d'accèder à l'EAD de l'Amon sur son interface eth0 depuis le réseau pédagogique.
il doit probablement y avoir un soucis dans les acl de squid

c'est reproductible avec le modèle de base 4zones.xml.

Associated revisions

Revision abc964f7 (diff)
Added by Emmanuel GARETTE over 6 years ago

ne pas autoriser l'accès à l'EAD sur l'interface eth0 (ref #16148 @1h)

Revision d8ad5450 (diff)
Added by Joël Cuissinat over 6 years ago

Modification des acl du proxy

  • to_localhost : adresse_ip_ethX_proxy_link ou adresse_ip_ethX
  • localhostethX : adresse_ip_ethX

Ref: #16148 @2h

History

#1 Updated by Fabrice Barconnière over 6 years ago

  • Tracker changed from Demande to Tâche
  • Estimated time set to 2.00 h
  • Parent task set to #16058
  • Remaining (hours) set to 2.0

#2 Updated by Emmanuel GARETTE over 6 years ago

  • Assigned To set to Emmanuel GARETTE
  • % Done changed from 0 to 90

Je ne peux pas dire a partir de quelle version le problème existe mais en effet il est possible d'acccéder à l'EAD de l'Amon sur eth0.

La correction est faite sur master et commit fait à partir de 2.4.0.

A décider sur quelle version on diffuse.

#3 Updated by Joël Cuissinat over 6 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 90 to 50
  • Parent task changed from #16058 to #16215
  • Remaining (hours) changed from 2.0 to 1.5

La correction appliquée n'est pas correcte pour AmonEcole !

Erreur: Utilisation d'une variable non existante dans le template de /etc/squid/common-squid1.conf : adresse_ip_eth0_proxy_link

<gnunux> il y a un soucis dans le mode conteneur
<gnunux> l'acl "acl localhosteth%%{interface} dst %%adresse_ip_eth/32" est foireuse en mode conteneur
<gnunux> ca devrait être adresse_ip_ethX mais pas adresse_ip_ethX_bidule_link
<gnunux> par contre c'est bien adresse_ip_eth pour l'acl to_localhost

#4 Updated by Scrum Master over 6 years ago

  • Assigned To changed from Emmanuel GARETTE to Daniel Dehennin

#5 Updated by Scrum Master over 6 years ago

  • Assigned To deleted (Daniel Dehennin)

#6 Updated by Scrum Master over 6 years ago

  • Status changed from En cours to Nouveau

#7 Updated by Scrum Master over 6 years ago

  • Status changed from Nouveau to En cours

#8 Updated by Karim Ayari over 6 years ago

si j'utilise le fichier modifié je n'ai plus de navigation internet, ça tourne dans le vide (testé depuis le réseau administratif)

#9 Updated by Joël Cuissinat over 6 years ago

  • Assigned To set to Joël Cuissinat

#10 Updated by Scrum Master over 6 years ago

  • Status changed from En cours to Résolu

#11 Updated by Karim Ayari over 6 years ago

j'ai retrouvé la navigation internet et l'accès à l'ead sur eth0 n'est plus possible.
merci ;)

#12 Updated by Fabrice Barconnière over 6 years ago

  • Status changed from Résolu to En cours

J'accède toujours à l'EAD depuis un poste pedago avec proxy alors que l'admin est désactivée depuis la pedago (sur les VM d'etb1, Amon+Scribe+pcprof-lxde) en ajoutant l'adresse IP du pcprof dans /etc/squid3/src_noauth_user
Pareil avec le proxy 3127 sans toucher à /etc/squid3/src_noauth_user

#13 Updated by Fabrice Barconnière over 6 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 50 to 100
  • Remaining (hours) changed from 1.5 to 0.0

Après avoir réussi à faire marchoter squid en 2.6.0 :
OK sur Amon et Amonecole 2.6.0.

#14 Updated by Fabrice Barconnière over 6 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF