Tâche #18185
Scénario #15195: Rediriger vers une page explicite dans le cas d'une interdiction de type "le web tout le temps"
Implémenter la redirection vers une page explicite dans le cas d'une interdiction de type "le web tout le temps"
Description
Benjamin Bohard a écrit :
Actuellement, l'interdiction résulte en un timeout du navigateur.
Il faudrait remplacer le REJECT iptables actuel par une redirection vers une page d'erreur (Nginx ?).
Ce cas est actuellement testé dans les pas n°7 et 8 du test AM-T03-007 - Filtre web : Groupe de machine (résultat à modifier).
La documentation semble correcte par contre : http://eole.ac-dijon.fr/documentations/2.5/partielles/HTML/ModuleAmon/co/08-filtrageweb-policy_2.html
Demandes liées
Révisions associées
Si interdiciton web redirection vers le port 83
Ref #18185 @3h
Mise en place de pages d'erreur pour la navigation interdite
Ref: #18185 @3h
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Joël Cuissinat
#3 Mis à jour par Joël Cuissinat il y a plus de 7 ans
Les règles générées actuellement sont les suivantes :
-A INPUT -i ens6 -p tcp -m set --match-set <groupe> src,dst -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i ens6 -o ens4 -p tcp -m multiport --dports 80,443,3128,8080 -m set --match-set <groupe> src -j REJECT --reject-with icmp-port-unreachable
qui sont générées dans amon/ipset/iptables_generator.py de amon-backend (NB : ces règles sont validées dans les tests unitaires)
#4 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- % réalisé changé de 0 à 20
- Restant à faire (heures) changé de 6.0 à 4.0
#5 Mis à jour par Joël Cuissinat il y a plus de 7 ans
Les règles suivantes renvoient bien sur la page "erreur proxy"...
Il ne reste plus qu'à créer une page d'erreur avec un port dédié...
WEB_INPUT_RULE = """/sbin/iptables -I INPUT -p tcp %s -j ACCEPT""" WEB_FORWARD_RULE = """/sbin/iptables -t nat -I PREROUTING -m multiport -p tcp --dports 80,443,3128,8080 %s -j REDIRECT --to-ports 81"""
NB : on pourrait réutiliser la page guardian.html.
#6 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- % réalisé changé de 20 à 50
- Restant à faire (heures) changé de 4.0 à 2.0
#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Lié à Tâche #12151: e2guardian : Faire apparaitre la page d'interdiction pour les sites https ajouté
#8 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- % réalisé changé de 50 à 100
- Restant à faire (heures) changé de 2.0 à 0.25
J'ai fait ce que j'ai pu mais à l'heure actuelle l'implémentation n'est fonctionnelle que pour les tentatives d'accès HTTP via le proxy.
#9 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de En cours à Résolu
#10 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0