Scénario #19023
Les restrictions d’accès apache doivent fonctionner derrière un reverse proxy
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Début:
13/02/2017
Echéance:
03/03/2017
% réalisé:
100%
Temps estimé:
(Total: 7.00 h)
Temps passé:
(Total: 8.42 h)
Points de scénarios:
2.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Problème¶
L’utilisation des règles Allow/Deny dans apache ne fonctionne pas derrière le reverse proxy Amon.
Par exemple sur Scribe dans notre etb1, lorsque eole-genconfig est configuré pour être publié sur le port 443 avec une restriction d’accès :
activer_genconfig⮕ ouiip_ssh_eth0⮕ 192.168.230.0netmask_ssh_eth0⮕ 255.255.255.0_
# Default to Deny
Order Allow,Deny
# ssh_eth0
Allow from 192.168.230.0/24
L’accès ne fonctionne jamais car les paquets arrivent du reverse proxy 10.1.3.1 et non pas de 192.168.230.0.
Solution¶
Il faut utiliser le module mod_remoteip qui permet :
- d’avoir les bonnes IP dans les logs, à ce titre il remplace mod_rpaf
- que les contrôles d’accès fonctionne
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Daniel Dehennin il y a environ 7 ans
- Lié à Tâche #18840: Faire la configuration pour genconfig ajouté
#2 Mis à jour par Scrum Master il y a environ 7 ans
- Tracker changé de Proposition Scénario à Scénario
- Echéance mis à 03/03/2017
- Version cible mis à sprint 2017 7-9 Equipe MENSR
- Début mis à 13/02/2017
- Release mis à EOLE 2.6.1
#3 Mis à jour par Scrum Master il y a environ 7 ans
- Points de scénarios mis à 2.0
#4 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Assigné à mis à force verte
#5 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Statut changé de Nouveau à Terminé (Sprint)