Projet

Général

Profil

Tâche #27893

Scénario #27542: Traitement express MEN (16-17)

amon 2.6.2 - squid - domaines_nopeerproxy

Ajouté par équipe eole Academie d'Orléans-Tours il y a environ 5 ans. Mis à jour il y a presque 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
sprint 2019 16-17 Equipe MENSR (vacances de printemps)
Début:
12/04/2019
Echéance:
% réalisé:

100%

Temps estimé:
3.00 h
Temps passé:
5.00 h
Restant à faire (heures):
0.0

Description

Bonjour,

J'ai remarqué qu'au logrotate sur les amon 2.6.2 j'avais

2019/04/12 06:27:21| ERROR: Can not open file /etc/squid/domaines_nopeerproxy for reading

sur des amon sans proxy pere.

Sur le template "common-squid1.conf" il y a l'acl ligne 418 :

#domaines auquels on peut accéder directement (pas passer par un proxy père)
acl nopeerproxy dstdomain "/etc/squid/domaines_nopeerproxy"

Ne faudrait t-il pas protéger cette acl via un 

"if CreoleGet activer_cache_pere = "oui" ?

Demandes liées

Lié à conf-amon - Evolution #708: Squid - accès domaine sans passer par proxy père Fermé 22/06/2010

Révisions associées

Révision de3faf3b (diff)
Ajouté par Fabrice Barconnière il y a environ 5 ans

Unuseful ACL and access in squid config when activate cache_peer

  • tmpl/common-squid1.conf: declare ACL only when cache_peer is set
  • tmpl/common-squid2.conf: always_direct access are set only when cache_peer is set
  • pretemplate/00-proxy:
    • generate domaines_nopeerproxy file only when cache_peer is set
    • domaines_nopeerproxy file is empty because always_direct is already set for dst 127.0.0.1/32

ref #27893

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Tâche parente mis à #27542

#2 Mis à jour par Joël Cuissinat il y a environ 5 ans

C'est étrange parce que normalement le fichier est initialisé par défaut :

$ grep domaines_nopeerproxy  pretemplate/00-proxy 
touch "$SQUID_PATH/domaines_nopeerproxy_regex" 
if [ ! -f "$SQUID_PATH/domaines_nopeerproxy" ];then
    echo "127.0.0.1" > "$SQUID_PATH/domaines_nopeerproxy"

Ou alors ce serait un problème de droits d'accès ?

Dernière modification : 2.6.0 => 2.6.1 car pas d'Amon-2.6.0 (#15956) !

#3 Mis à jour par Joël Cuissinat il y a environ 5 ans

Sur un amon 2.6.2, j'ai :

root@amon:~# ll /etc/squid/domaines_nopeerproxy
-rw-r--r-- 1 root root 10 avril 12 23:05 /etc/squid/domaines_nopeerproxy
root@amon:~# cat /etc/squid/domaines_nopeerproxy
127.0.0.1

#4 Mis à jour par équipe eole Academie d'Orléans-Tours il y a environ 5 ans

Bonjour,

Après ces remarques, j'ai donc jeté un œil sur les serveurs faisant l'erreur. Il s'agit de serveurs ayant eu un proxy père et pour lesquels le fichier en question (/etc/squid/domaines_nopeerproxy) a été mis en fichier "à supprimer" dans leur conf zephir, lors de la désactivation de la conf du proxy père. Rien à voir finalement avec le passage en 2.6 lui même.

Cela étant dit, quel intérêt d'imposer la présence de cette acl lorsque activer_cache_pere = non ? Ne faut-il pas ajouter le test quand même ?

Nicolas

#5 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Statut changé de Nouveau à En cours

#6 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Description mis à jour (diff)
  • Assigné à mis à Joël Cuissinat

#7 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • Statut changé de En cours à Nouveau
  • Temps estimé mis à 3.00 h
  • Restant à faire (heures) mis à 3.0

Le fichier /etc/squid/domaines_nopeerproxy est généré avec l'adresse 127.0.0.1 comme adresse minimale.
L'accès always_direct allow sur l'acl nopeerproxy est positionné dans common-squid2.conf.
Je ne suis pas certain que le fait de supprimer ce fichier, donc cette acl ne soit pas sans conséquence.

Par prudence, on ne fera des changements qu'en 2.7.1 pour minimiser les risques de changement de comportement et d'introduction de dysfonctionnements sur les versions stables.
Cela évitera également de casser des patchs déjà diffusés sur des serveurs en production.

En 2.7.1 uniquement :
  • Conserver l'accès direct sur 127.0.0.1 en définissant une acl dst_localhost dst 127.0.0.1/32 dans common-squid1.conf avec l'accès always_direct allow sur cette acl dans common-squid2.conf.
  • Modifier les templates common-squid1.conf et common-squid2.conf en ajoutant le test sur la variable activer_cache_pere pour l'acl nopeerproxy ainsi que le script pretemplate/00-proxy pour ne pas générer ce fichier inutilement. Le fichier doit être généré vide car 127.0.0.1 existera déjà dans l'acl dst_localhost

#8 Mis à jour par Scrum Master il y a environ 5 ans

  • Statut changé de Nouveau à En cours

#9 Mis à jour par Scrum Master il y a environ 5 ans

  • Assigné à changé de Joël Cuissinat à Fabrice Barconnière

#10 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • Lié à Evolution #708: Squid - accès domaine sans passer par proxy père ajouté

#11 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 3.0 à 0.5

#12 Mis à jour par Fabrice Barconnière il y a environ 5 ans

  • Statut changé de En cours à Résolu

#13 Mis à jour par Joël Cuissinat il y a presque 5 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.5 à 0.0

non testé

Formats disponibles : Atom PDF