Project

General

Profile

Anomalie #2620

Autorisation EAD de l'amon (variable ssh_eth2)

Added by Karim Ayari almost 12 years ago. Updated over 11 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
Distribution EOLE - Mises à jour 2.2.3 - 04 RC
Start date:
12/19/2011
Due date:
% Done:

100%

Estimated time:
1.00 h
Spent time:
0.67 h
Distribution:
Toutes

Description

Bonjour,

Nous avons paramétré nos serveurs Amon (2.2 à jour) afin qu'une station du côté pédagogique puisse accéder à son ead,
via la variable "ssh_eth2" or nous avons constaté que l'accès à l'ead de l'Amon se fait via le proxy, en conséquence toutes les stations
y accèdent sans problèmes.

iptables n'intervient donc pas du tout (je pense à la règle autorisant cette station vers le port 4200 de l'Amon).

dans le fichier squid.conf on retrouve bien la ligne,

http_access deny Reserved localhosteth2 !eth2admin0

mais juste avant on a le paragraphe,

#connexion aux reseaux internes
http_access allow reseaueth2
http_access allow reseaueth3

si j'ai bien compris toutes les règles qui suivent sont annulées de part cette autorisation pour tout le réseau eth2.
En déplaçant la ligne
http_access deny Reserved localhosteth2 !eth2admin0

juste avant ce paragraphe alors le filtrage fonctionne bien avec un message du navigateur pour les stations non autorisées "la connexion a été refusée par le serveur proxy"

le filtrage en question ne fonctionne donc pas sans cette modif sur squid.conf. A moins qu'il y est un autre moyen...

Related issues

Related to eole-proxy - Anomalie #2729: Contournement possible des règles "ip_admin_eth" en utilisant le proxy Fermé 01/17/2012

Associated revisions

Revision ace462f6 (diff)
Added by moyooo about 12 years ago

Review hardware selection for ticket
see #2620

Revision 225887ea (diff)
Added by moyooo almost 12 years ago

better display see #2620

Revision a0637a96 (diff)
Added by Joël Cuissinat over 11 years ago

Déplacement des règles proxy/EAD pour éviter leur contournement (fixes #2620 @30m)
  • tmpl/squid.conf : déplacement du bloc "ead" avant "reseaux internes"

History

#1 Updated by Karim Ayari almost 12 years ago

après test sur un Amon 2.3 -> même constatations

#2 Updated by Joël Cuissinat over 11 years ago

  • Status changed from Nouveau to En attente d'informations
  • Target version set to Mises à jour 2.2.3 - 04 RC
  • Estimated time set to 1.00 h
  • Distribution changed from EOLE 2.2 to Toutes

Ce ne serait pas l'inverse de la demande #1295 ???

#3 Updated by Joël Cuissinat over 11 years ago

  • Project changed from Amon to conf-amon

#4 Updated by Joël Cuissinat over 11 years ago

  • Status changed from En attente d'informations to Accepté

#5 Updated by Joël Cuissinat over 11 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#6 Updated by Fabrice Barconnière over 11 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF