Tâche #19148
Scénario #19023: Les restrictions d’accès apache doivent fonctionner derrière un reverse proxy
Remplacer la configuration de mod_rpaf par mod_remoteip
Demandes liées
Révisions associées
Correction typo template genconfig pour apache
ref: #19148 @30min
Il y a un ; en trop apres le netmask des restrictions qui empêche apache de démarrer
Remplacement du module rpaf par le module remoteip
ref: #19148 @2h
Le module apache remoteip remplace le module rpaf
Adapation de la ligne de log dans le cas d'un reverse proxy parent
ref: #19148 @1h
Ajout d'une ligne LogFormat prenant en compte l'ip réelle du client dans le cas d'un reverse proxy parent
Ajout de ce format de log dans le cas d'un reverse proxy parent pour le vhosts en ssl et en clair
Correction dans la detection du reverse proxy parent
ref: #19148 @10min
Correction de la detection d'un eventuel reverse proxy parent
Do not break X-Forwarded-For chain
When proxy filtering is enabled *guardian set the X-Forwarded-For
correctly, squid does not have to add 127.0.0.1 to X-Forwarded-For.
- tmpl/common-squid2.conf: Use transparent mode when filtering is
enabled.
Ref: #19148
Fix X-Forwarded-For header for connections from Squid
For clients passing through e2guardian/Squid to access Scribe, the
header is not set correctly since the connection is view from first IP
address of Amon.
We must trust all our local IPs to avoid them to be added to
X-Forwarded-For.
We should not append X-Forwarded-For header with “proxy_set_header”
since we configured realip module.
- tmpl/nginx.default: Trust all our IPs and remove manual setting of
X-Forwarded-For.
Ref: #19148
Suppresion des scories du module rpaf
ref: #19148 @30min
Suppression d'un commentaire dans le dico
Suppression du template rpaf.conf
Historique
#1 Mis à jour par Laurent Flori il y a environ 7 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Laurent Flori il y a environ 7 ans
- Assigné à mis à Laurent Flori
#3 Mis à jour par Laurent Flori il y a environ 7 ans
- Restant à faire (heures) changé de 4.0 à 0.25
#4 Mis à jour par Laurent Flori il y a environ 7 ans
Démarrer un etb1
- Sur l'amon
- configurer le reverse proxy pour que https://etb1.ac-test.fr/genconfig renvoie vers https://scribe.etb1.lan/genconfig
- reconfigurer
- activer_genconfig (expert>services)
- Mettre une restriction d'adresse sur ssh eth0: 192.168.230.0/255.255.255.0
- reconfigurer
Depuis le poste du testeur https://etb1.ac-test.fr/genconfig devrait présenter le genconfig du scribe
Sur le serveur Scribe vérifier les logs dans
/var/log/apache2/ssl_access.log
On devrait voir l'adresse du proxy et l'adresse du client
#5 Mis à jour par Daniel Dehennin il y a environ 7 ans
- % réalisé changé de 0 à 90
- Mon poste sur le réseau 192.168.230.0/24 accède bien à genconfig
192.168.230.30 10.1.3.1 [15/Feb/2017:16:05:44 +0100] "GET /genconfig/categories/annuaire/tags HTTP/1.0" 200 2758 192.168.230.30 10.1.3.1 [15/Feb/2017:16:05:54 +0100] "GET /genconfig/categories/bareos_webui/tags HTTP/1.0" 200 2066
- Le poste pcprof ne peut pas accéder mais les logs ne contiennent pas l’IP de la station cliente
10.1.3.1 10.1.3.1 [15/Feb/2017:16:07:27 +0100] "GET /genconfig HTTP/1.1" 403 629
#6 Mis à jour par Daniel Dehennin il y a environ 7 ans
Daniel Dehennin a écrit :
- Le poste pcprof ne peut pas accéder mais les logs ne contiennent pas l’IP de la station cliente
C’est peut-être parce que nous passons par le proxy…
#7 Mis à jour par Laurent Flori il y a environ 7 ans
- Statut changé de En cours à Résolu
#8 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0
#9 Mis à jour par Joël Cuissinat il y a environ 7 ans
- % réalisé changé de 90 à 100
#10 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Lié à Scénario #19857: Le proxy EOLE devrait fonctionner derrière un Amon ajouté