Project

General

Profile

Tâche #18606

Scénario #18476: Traitement express PNE-SR (1-3)

Pb de safe port sur l'amon

Added by Emmanuel IHRY over 4 years ago. Updated over 4 years ago.

Status:
Ne sera pas résolu
Priority:
Normal
Assigned To:
Start date:
01/04/2017
Due date:
% Done:

100%

Estimated time:
1.00 h
Spent time:
Remaining (hours):
0.0

History

#1 Updated by Emmanuel IHRY over 4 years ago

Dans le fic hier de config de l'essl (ex version 2.5.1) "less /etc/squid3/common-squid1.conf" on trouve ceci :

acl Safe_ports port 80 21 443 563 70 210 631 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777

Dans le zephir, pour ce serveur, on trouve cela :

Menu Squid, "Safe_ports" supplémentaire = Pas de valeurs

Le test est d'ajouter un port dans la conf Zéphir. Cela génère une ligne supplémentaire dans le fichier de conf Squid en dessous du 777. Notre test de dérogation ne fonctionnait à moins de mettre le port directement dans la première ligne.

Donc pour nous, le squid ne prend en compte que la première ligne.

#2 Updated by Philippe Carre over 4 years ago

Réalisation des tests suivants :
ouverture de ports sur eSSL-1 et accès http via le squid de l'eSSL-2.

Test sur un port non Safe_ports
- sur eSSL-1 : netcat -l 222 < /root/scripts/index.html
*TCP_DENIED*/403 4000 GET http://172.26.x.x:222/ - HIER_NONE/- text/html   *NOK*

1ère ligne de Safe_ports, ports 70 , 210 , 631 
- sur eSSL-1 : netcat -l 70 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:70/ - HIER_DIRECT/172.26.x.x -    *OK*
- sur eSSL-1 : netcat -l 210 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:210/ - HIER_DIRECT/172.26.x.x -   *OK*
- sur eSSL-1 : netcat -l 631 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x:631/ - HIER_DIRECT/172.26.x.x     *OK*

2eme ligne Safe_ports : acl Safe_ports port 280
netcat -l 280 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:280/ - HIER_DIRECT/172.26.x.x    *OK*

dernière ligne de Safe_ports : acl Safe_ports port 777
netcat -l 777 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:777/ - HIER_DIRECT/172.26.x.x    *OK*

Ajout via gen_config du port 555 : acl Safe_ports port 555
netcat -l 555 < /root/scripts/index.html
=>  TCP_MISS/200 482 GET http://172.26.x.x.:555/ - HIER_DIRECT/172.26.x.x    *OK*

Pour moi , tout est ok. Toutes les lignes d'acl Safe_ports sont bien prises en compte. Sur un eSSL 2.5.2

Est-ce que le pb ne venait pas du navigateur ?? J'ai testé avec chrome, Firefox m'interdisait d'utiliser des ports non standard.

#3 Updated by Philippe Carre over 4 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 0 to 70
  • Estimated time set to 1.00 h
  • Remaining (hours) set to 0.5

#4 Updated by Thierry Bertrand over 4 years ago

  • Assigned To set to Philippe Carre

#5 Updated by Philippe Carre over 4 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 70 to 100
  • Remaining (hours) changed from 0.5 to 0.0

Vu avec Pierre et Fabrice, le pb était en fait au niveau du proxy national. Qui bloque évidemment lui aussi les ports exotiques!!

#6 Updated by Patrice THEBAULT over 4 years ago

  • Status changed from Résolu to Ne sera pas résolu

Also available in: Atom PDF