Projet

Général

Profil

Tâche #18606

Scénario #18476: Traitement express PNE-SR (1-3)

Pb de safe port sur l'amon

Ajouté par Emmanuel IHRY il y a plus de 7 ans. Mis à jour il y a plus de 7 ans.

Statut:
Ne sera pas résolu
Priorité:
Normal
Assigné à:
Philippe Carre
Version cible:
sprint 2017 1-3 Equipe PNE-SR
Début:
04/01/2017
Echéance:
% réalisé:

100%

Temps estimé:
1.00 h
Temps passé:
0.50 h
Restant à faire (heures):
0.0

Historique

#1 Mis à jour par Emmanuel IHRY il y a plus de 7 ans

Dans le fic hier de config de l'essl (ex version 2.5.1) "less /etc/squid3/common-squid1.conf" on trouve ceci :

acl Safe_ports port 80 21 443 563 70 210 631 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777

Dans le zephir, pour ce serveur, on trouve cela :

Menu Squid, "Safe_ports" supplémentaire = Pas de valeurs

Le test est d'ajouter un port dans la conf Zéphir. Cela génère une ligne supplémentaire dans le fichier de conf Squid en dessous du 777. Notre test de dérogation ne fonctionnait à moins de mettre le port directement dans la première ligne.

Donc pour nous, le squid ne prend en compte que la première ligne.

#2 Mis à jour par Philippe Carre il y a plus de 7 ans

Réalisation des tests suivants :
ouverture de ports sur eSSL-1 et accès http via le squid de l'eSSL-2.

Test sur un port non Safe_ports
- sur eSSL-1 : netcat -l 222 < /root/scripts/index.html
*TCP_DENIED*/403 4000 GET http://172.26.x.x:222/ - HIER_NONE/- text/html   *NOK*

1ère ligne de Safe_ports, ports 70 , 210 , 631 
- sur eSSL-1 : netcat -l 70 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:70/ - HIER_DIRECT/172.26.x.x -    *OK*
- sur eSSL-1 : netcat -l 210 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:210/ - HIER_DIRECT/172.26.x.x -   *OK*
- sur eSSL-1 : netcat -l 631 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:631/ - HIER_DIRECT/172.26.x.x     *OK*

2eme ligne Safe_ports : acl Safe_ports port 280
netcat -l 280 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:280/ - HIER_DIRECT/172.26.x.x    *OK*

dernière ligne de Safe_ports : acl Safe_ports port 777
netcat -l 777 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:777/ - HIER_DIRECT/172.26.x.x    *OK*

Ajout via gen_config du port 555 : acl Safe_ports port 555
netcat -l 555 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:555/ - HIER_DIRECT/172.26.x.x    *OK*

Pour moi , tout est ok. Toutes les lignes d'acl Safe_ports sont bien prises en compte. Sur un eSSL 2.5.2

Est-ce que le pb ne venait pas du navigateur ?? J'ai testé avec chrome, Firefox m'interdisait d'utiliser des ports non standard.

#3 Mis à jour par Philippe Carre il y a plus de 7 ans

  • Statut changé de Nouveau à En cours
  • % réalisé changé de 0 à 70
  • Temps estimé mis à 1.00 h
  • Restant à faire (heures) mis à 0.5

#4 Mis à jour par Thierry Bertrand il y a plus de 7 ans

  • Assigné à mis à Philippe Carre

#5 Mis à jour par Philippe Carre il y a plus de 7 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 70 à 100
  • Restant à faire (heures) changé de 0.5 à 0.0

Vu avec Pierre et Fabrice, le pb était en fait au niveau du proxy national. Qui bloque évidemment lui aussi les ports exotiques!!

#6 Mis à jour par Patrice THEBAULT il y a plus de 7 ans

  • Statut changé de Résolu à Ne sera pas résolu

Formats disponibles : Atom PDF