Project

General

Profile

Tâche #19148

Scénario #19023: Les restrictions d’accès apache doivent fonctionner derrière un reverse proxy

Remplacer la configuration de mod_rpaf par mod_remoteip

Added by Daniel Dehennin about 3 years ago. Updated about 3 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
02/13/2017
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Related issues

Related to eole-proxy - Scénario #19857: Le proxy EOLE devrait fonctionner derrière un Amon Terminé (Sprint) 06/27/2017 07/13/2017

Associated revisions

Revision c1404acf (diff)
Added by Laurent Flori about 3 years ago

Correction typo template genconfig pour apache

ref: #19148 @30min

Il y a un ; en trop apres le netmask des restrictions qui empêche apache de démarrer

Revision 8be221ca (diff)
Added by Laurent Flori about 3 years ago

Remplacement du module rpaf par le module remoteip

ref: #19148 @2h

Le module apache remoteip remplace le module rpaf

Revision e424e4e6 (diff)
Added by Laurent Flori about 3 years ago

Adapation de la ligne de log dans le cas d'un reverse proxy parent

ref: #19148 @1h

Ajout d'une ligne LogFormat prenant en compte l'ip réelle du client dans le cas d'un reverse proxy parent
Ajout de ce format de log dans le cas d'un reverse proxy parent pour le vhosts en ssl et en clair

Revision a35e683e (diff)
Added by Laurent Flori about 3 years ago

Correction dans la detection du reverse proxy parent

ref: #19148 @10min

Correction de la detection d'un eventuel reverse proxy parent

Revision 5eb57adc (diff)
Added by Daniel Dehennin about 3 years ago

Do not break X-Forwarded-For chain

When proxy filtering is enabled *guardian set the X-Forwarded-For
correctly, squid does not have to add 127.0.0.1 to X-Forwarded-For.

  • tmpl/common-squid2.conf: Use transparent mode when filtering is
    enabled.

Ref: #19148

Revision c16848cb (diff)
Added by Daniel Dehennin about 3 years ago

Fix X-Forwarded-For header for connections from Squid

For clients passing through e2guardian/Squid to access Scribe, the
header is not set correctly since the connection is view from first IP
address of Amon.

We must trust all our local IPs to avoid them to be added to
X-Forwarded-For.

We should not append X-Forwarded-For header with “proxy_set_header”
since we configured realip module.

  • tmpl/nginx.default: Trust all our IPs and remove manual setting of
    X-Forwarded-For.

Ref: #19148

Revision 81a9f7ca (diff)
Added by Laurent Flori about 3 years ago

Suppresion des scories du module rpaf

ref: #19148 @30min

Suppression d'un commentaire dans le dico
Suppression du template rpaf.conf

History

#1 Updated by Laurent Flori about 3 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Laurent Flori about 3 years ago

  • Assigned To set to Laurent Flori

#3 Updated by Laurent Flori about 3 years ago

  • Remaining (hours) changed from 4.0 to 0.25

#4 Updated by Laurent Flori about 3 years ago

Pour valider:
Démarrer un etb1
- Sur l'amon - Sur le Scribe:
  • activer_genconfig (expert>services)
  • Mettre une restriction d'adresse sur ssh eth0: 192.168.230.0/255.255.255.0
  • reconfigurer

Depuis le poste du testeur https://etb1.ac-test.fr/genconfig devrait présenter le genconfig du scribe

Sur le serveur Scribe vérifier les logs dans
/var/log/apache2/ssl_access.log

On devrait voir l'adresse du proxy et l'adresse du client

#5 Updated by Daniel Dehennin about 3 years ago

  • % Done changed from 0 to 90
  • Mon poste sur le réseau 192.168.230.0/24 accède bien à genconfig
    192.168.230.30 10.1.3.1 [15/Feb/2017:16:05:44 +0100] "GET /genconfig/categories/annuaire/tags HTTP/1.0" 200 2758
    192.168.230.30 10.1.3.1 [15/Feb/2017:16:05:54 +0100] "GET /genconfig/categories/bareos_webui/tags HTTP/1.0" 200 2066
    
  • Le poste pcprof ne peut pas accéder mais les logs ne contiennent pas l’IP de la station cliente
    10.1.3.1 10.1.3.1 [15/Feb/2017:16:07:27 +0100] "GET /genconfig HTTP/1.1" 403 629
    

#6 Updated by Daniel Dehennin about 3 years ago

Daniel Dehennin a écrit :

  • Le poste pcprof ne peut pas accéder mais les logs ne contiennent pas l’IP de la station cliente

C’est peut-être parce que nous passons par le proxy…

#7 Updated by Laurent Flori about 3 years ago

  • Status changed from En cours to Résolu

#8 Updated by Scrum Master about 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.25 to 0.0

#9 Updated by Joël Cuissinat about 3 years ago

  • % Done changed from 90 to 100

#10 Updated by Joël Cuissinat almost 3 years ago

  • Related to Scénario #19857: Le proxy EOLE devrait fonctionner derrière un Amon added

Also available in: Atom PDF