Project

General

Profile

Tâche #27893

Scénario #27542: Traitement express MEN (16-17)

amon 2.6.2 - squid - domaines_nopeerproxy

Added by équipe eole Academie d'Orléans-Tours over 3 years ago. Updated over 3 years ago.

Status:
Fermé
Priority:
Normal
Start date:
04/12/2019
Due date:
% Done:

100%

Estimated time:
3.00 h
Spent time:
Remaining (hours):
0.0

Description

Bonjour,

J'ai remarqué qu'au logrotate sur les amon 2.6.2 j'avais

2019/04/12 06:27:21| ERROR: Can not open file /etc/squid/domaines_nopeerproxy for reading

sur des amon sans proxy pere.

Sur le template "common-squid1.conf" il y a l'acl ligne 418 :

#domaines auquels on peut accéder directement (pas passer par un proxy père)
acl nopeerproxy dstdomain "/etc/squid/domaines_nopeerproxy" 

Ne faudrait t-il pas protéger cette acl via un

"if CreoleGet activer_cache_pere = "oui" ?


Related issues

Related to conf-amon - Evolution #708: Squid - accès domaine sans passer par proxy père Fermé 06/22/2010

Associated revisions

Revision de3faf3b (diff)
Added by Fabrice Barconnière over 3 years ago

Unuseful ACL and access in squid config when activate cache_peer

  • tmpl/common-squid1.conf: declare ACL only when cache_peer is set
  • tmpl/common-squid2.conf: always_direct access are set only when cache_peer is set
  • pretemplate/00-proxy:
    • generate domaines_nopeerproxy file only when cache_peer is set
    • domaines_nopeerproxy file is empty because always_direct is already set for dst 127.0.0.1/32

ref #27893

History

#1 Updated by Joël Cuissinat over 3 years ago

  • Parent task set to #27542

#2 Updated by Joël Cuissinat over 3 years ago

C'est étrange parce que normalement le fichier est initialisé par défaut :

$ grep domaines_nopeerproxy  pretemplate/00-proxy 
touch "$SQUID_PATH/domaines_nopeerproxy_regex" 
if [ ! -f "$SQUID_PATH/domaines_nopeerproxy" ];then
    echo "127.0.0.1" > "$SQUID_PATH/domaines_nopeerproxy" 

Ou alors ce serait un problème de droits d'accès ?

Dernière modification : 2.6.0 => 2.6.1 car pas d'Amon-2.6.0 (#15956) !

#3 Updated by Joël Cuissinat over 3 years ago

Sur un amon 2.6.2, j'ai :

root@amon:~# ll /etc/squid/domaines_nopeerproxy
-rw-r--r-- 1 root root 10 avril 12 23:05 /etc/squid/domaines_nopeerproxy
root@amon:~# cat /etc/squid/domaines_nopeerproxy
127.0.0.1

#4 Updated by équipe eole Academie d'Orléans-Tours over 3 years ago

Bonjour,

Après ces remarques, j'ai donc jeté un œil sur les serveurs faisant l'erreur. Il s'agit de serveurs ayant eu un proxy père et pour lesquels le fichier en question (/etc/squid/domaines_nopeerproxy) a été mis en fichier "à supprimer" dans leur conf zephir, lors de la désactivation de la conf du proxy père. Rien à voir finalement avec le passage en 2.6 lui même.

Cela étant dit, quel intérêt d'imposer la présence de cette acl lorsque activer_cache_pere = non ? Ne faut-il pas ajouter le test quand même ?

Nicolas

#5 Updated by Joël Cuissinat over 3 years ago

  • Status changed from Nouveau to En cours

#6 Updated by Joël Cuissinat over 3 years ago

  • Description updated (diff)
  • Assigned To set to Joël Cuissinat

#7 Updated by Fabrice Barconnière over 3 years ago

  • Status changed from En cours to Nouveau
  • Estimated time set to 3.00 h
  • Remaining (hours) set to 3.0

Le fichier /etc/squid/domaines_nopeerproxy est généré avec l'adresse 127.0.0.1 comme adresse minimale.
L'accès always_direct allow sur l'acl nopeerproxy est positionné dans common-squid2.conf.
Je ne suis pas certain que le fait de supprimer ce fichier, donc cette acl ne soit pas sans conséquence.

Par prudence, on ne fera des changements qu'en 2.7.1 pour minimiser les risques de changement de comportement et d'introduction de dysfonctionnements sur les versions stables.
Cela évitera également de casser des patchs déjà diffusés sur des serveurs en production.

En 2.7.1 uniquement :
  • Conserver l'accès direct sur 127.0.0.1 en définissant une acl dst_localhost dst 127.0.0.1/32 dans common-squid1.conf avec l'accès always_direct allow sur cette acl dans common-squid2.conf.
  • Modifier les templates common-squid1.conf et common-squid2.conf en ajoutant le test sur la variable activer_cache_pere pour l'acl nopeerproxy ainsi que le script pretemplate/00-proxy pour ne pas générer ce fichier inutilement. Le fichier doit être généré vide car 127.0.0.1 existera déjà dans l'acl dst_localhost

#8 Updated by Scrum Master over 3 years ago

  • Status changed from Nouveau to En cours

#9 Updated by Scrum Master over 3 years ago

  • Assigned To changed from Joël Cuissinat to Fabrice Barconnière

#10 Updated by Fabrice Barconnière over 3 years ago

  • Related to Evolution #708: Squid - accès domaine sans passer par proxy père added

#11 Updated by Fabrice Barconnière over 3 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 3.0 to 0.5

#12 Updated by Fabrice Barconnière over 3 years ago

  • Status changed from En cours to Résolu

#13 Updated by Joël Cuissinat over 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

non testé

Also available in: Atom PDF