Tâche #27893
Scénario #27542: Traitement express MEN (16-17)
amon 2.6.2 - squid - domaines_nopeerproxy
Description
Bonjour,
J'ai remarqué qu'au logrotate sur les amon 2.6.2 j'avais
2019/04/12 06:27:21| ERROR: Can not open file /etc/squid/domaines_nopeerproxy for reading
sur des amon sans proxy pere.
Sur le template "common-squid1.conf" il y a l'acl ligne 418 :
#domaines auquels on peut accéder directement (pas passer par un proxy père) acl nopeerproxy dstdomain "/etc/squid/domaines_nopeerproxy"
Ne faudrait t-il pas protéger cette acl via un
"if CreoleGet activer_cache_pere = "oui" ?
Demandes liées
Révisions associées
Unuseful ACL and access in squid config when activate cache_peer
- tmpl/common-squid1.conf: declare ACL only when cache_peer is set
- tmpl/common-squid2.conf: always_direct access are set only when cache_peer is set
- pretemplate/00-proxy:
- generate domaines_nopeerproxy file only when cache_peer is set
- domaines_nopeerproxy file is empty because always_direct is already set for dst 127.0.0.1/32
ref #27893
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Tâche parente mis à #27542
#2 Mis à jour par Joël Cuissinat il y a environ 5 ans
C'est étrange parce que normalement le fichier est initialisé par défaut :
$ grep domaines_nopeerproxy pretemplate/00-proxy touch "$SQUID_PATH/domaines_nopeerproxy_regex" if [ ! -f "$SQUID_PATH/domaines_nopeerproxy" ];then echo "127.0.0.1" > "$SQUID_PATH/domaines_nopeerproxy"
Ou alors ce serait un problème de droits d'accès ?
Dernière modification : 2.6.0 => 2.6.1 car pas d'Amon-2.6.0 (#15956) !
#3 Mis à jour par Joël Cuissinat il y a environ 5 ans
Sur un amon 2.6.2, j'ai :
root@amon:~# ll /etc/squid/domaines_nopeerproxy -rw-r--r-- 1 root root 10 avril 12 23:05 /etc/squid/domaines_nopeerproxy root@amon:~# cat /etc/squid/domaines_nopeerproxy 127.0.0.1
#4 Mis à jour par équipe eole Academie d'Orléans-Tours il y a environ 5 ans
Bonjour,
Après ces remarques, j'ai donc jeté un œil sur les serveurs faisant l'erreur. Il s'agit de serveurs ayant eu un proxy père et pour lesquels le fichier en question (/etc/squid/domaines_nopeerproxy) a été mis en fichier "à supprimer" dans leur conf zephir, lors de la désactivation de la conf du proxy père. Rien à voir finalement avec le passage en 2.6 lui même.
Cela étant dit, quel intérêt d'imposer la présence de cette acl lorsque activer_cache_pere = non ? Ne faut-il pas ajouter le test quand même ?
Nicolas
#5 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Statut changé de Nouveau à En cours
#6 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Description mis à jour (diff)
- Assigné à mis à Joël Cuissinat
#7 Mis à jour par Fabrice Barconnière il y a environ 5 ans
- Statut changé de En cours à Nouveau
- Temps estimé mis à 3.00 h
- Restant à faire (heures) mis à 3.0
Le fichier /etc/squid/domaines_nopeerproxy
est généré avec l'adresse 127.0.0.1 comme adresse minimale.
L'accès always_direct allow
sur l'acl nopeerproxy
est positionné dans common-squid2.conf
.
Je ne suis pas certain que le fait de supprimer ce fichier, donc cette acl ne soit pas sans conséquence.
Par prudence, on ne fera des changements qu'en 2.7.1 pour minimiser les risques de changement de comportement et d'introduction de dysfonctionnements sur les versions stables.
Cela évitera également de casser des patchs déjà diffusés sur des serveurs en production.
- Conserver l'accès direct sur 127.0.0.1 en définissant une
acl dst_localhost dst 127.0.0.1/32
danscommon-squid1.conf
avec l'accèsalways_direct allow
sur cette acl danscommon-squid2.conf
. - Modifier les templates
common-squid1.conf
etcommon-squid2.conf
en ajoutant le test sur la variableactiver_cache_pere
pour l'aclnopeerproxy
ainsi que le scriptpretemplate/00-proxy
pour ne pas générer ce fichier inutilement. Le fichier doit être généré vide car 127.0.0.1 existera déjà dans l'acldst_localhost
#8 Mis à jour par Scrum Master il y a environ 5 ans
- Statut changé de Nouveau à En cours
#9 Mis à jour par Scrum Master il y a environ 5 ans
- Assigné à changé de Joël Cuissinat à Fabrice Barconnière
#10 Mis à jour par Fabrice Barconnière il y a environ 5 ans
- Lié à Evolution #708: Squid - accès domaine sans passer par proxy père ajouté
#11 Mis à jour par Fabrice Barconnière il y a environ 5 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 3.0 à 0.5
#12 Mis à jour par Fabrice Barconnière il y a environ 5 ans
- Statut changé de En cours à Résolu
#13 Mis à jour par Joël Cuissinat il y a presque 5 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0
non testé