Tâche #16148
Scénario #16215: Traitement express (22-24)
Accès EAD sur eth0 depuis le réseau pédagogique malgré interdiction
Description
Nous avons constaté sur Amon 2.5.1 et 2.5.2 qu'avec le proxy il est possible d'accèder à l'EAD de l'Amon sur son interface eth0 depuis le réseau pédagogique.
il doit probablement y avoir un soucis dans les acl de squid
c'est reproductible avec le modèle de base 4zones.xml.
Révisions associées
ne pas autoriser l'accès à l'EAD sur l'interface eth0 (ref #16148 @1h)
Modification des acl du proxy
- to_localhost : adresse_ip_ethX_proxy_link ou adresse_ip_ethX
- localhostethX : adresse_ip_ethX
Ref: #16148 @2h
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Tracker changé de Demande à Tâche
- Temps estimé mis à 2.00 h
- Tâche parente mis à #16058
- Restant à faire (heures) mis à 2.0
#2 Mis à jour par Emmanuel GARETTE il y a presque 8 ans
- Assigné à mis à Emmanuel GARETTE
- % réalisé changé de 0 à 90
Je ne peux pas dire a partir de quelle version le problème existe mais en effet il est possible d'acccéder à l'EAD de l'Amon sur eth0.
La correction est faite sur master et commit fait à partir de 2.4.0.
A décider sur quelle version on diffuse.
#3 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Statut changé de Nouveau à En cours
- % réalisé changé de 90 à 50
- Tâche parente changé de #16058 à #16215
- Restant à faire (heures) changé de 2.0 à 1.5
La correction appliquée n'est pas correcte pour AmonEcole !
Erreur: Utilisation d'une variable non existante dans le template de /etc/squid/common-squid1.conf : adresse_ip_eth0_proxy_link
<gnunux> il y a un soucis dans le mode conteneur
<gnunux> l'acl "acl localhosteth%%{interface} dst %%adresse_ip_eth/32" est foireuse en mode conteneur
<gnunux> ca devrait être adresse_ip_ethX mais pas adresse_ip_ethX_bidule_link
<gnunux> par contre c'est bien adresse_ip_eth pour l'acl to_localhost
#4 Mis à jour par Scrum Master il y a presque 8 ans
- Assigné à changé de Emmanuel GARETTE à Daniel Dehennin
#5 Mis à jour par Scrum Master il y a presque 8 ans
- Assigné à
Daniel Dehenninsupprimé
#6 Mis à jour par Scrum Master il y a presque 8 ans
- Statut changé de En cours à Nouveau
#7 Mis à jour par Scrum Master il y a presque 8 ans
- Statut changé de Nouveau à En cours
#8 Mis à jour par Karim Ayari il y a presque 8 ans
si j'utilise le fichier modifié je n'ai plus de navigation internet, ça tourne dans le vide (testé depuis le réseau administratif)
#9 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Assigné à mis à Joël Cuissinat
#10 Mis à jour par Scrum Master il y a presque 8 ans
- Statut changé de En cours à Résolu
#11 Mis à jour par Karim Ayari il y a presque 8 ans
j'ai retrouvé la navigation internet et l'accès à l'ead sur eth0 n'est plus possible.
merci ;)
#12 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de Résolu à En cours
J'accède toujours à l'EAD depuis un poste pedago avec proxy alors que l'admin est désactivée depuis la pedago (sur les VM d'etb1, Amon+Scribe+pcprof-lxde) en ajoutant l'adresse IP du pcprof dans /etc/squid3/src_noauth_user
Pareil avec le proxy 3127 sans toucher à /etc/squid3/src_noauth_user
#13 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 50 à 100
- Restant à faire (heures) changé de 1.5 à 0.0
Après avoir réussi à faire marchoter squid en 2.6.0 :
OK sur Amon et Amonecole 2.6.0.
#14 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Statut changé de Résolu à Fermé