Distribution EOLE

ACL manager¶

La déclaration de l’acl manager n’est plus nécessaire pour son utilisation. La ligne "acl manager proto cache_object" peut être supprimée de la configuration.

headers via¶

L’utilisation des headers via (suppression de via off dans la configuration) ne semble plus poser de problèmes en 2.10. Tester sur la base du test squash PROXY-T30-001, avec patch sur l’amon etb1 et le proxy parent proxy.ac-test.fr pour supprimer via off, donc revenir au comportement par défaut.

IPv6¶

La documentation indique qu’une déclaration spécifique d’adresse IPv4 pour certaines directives devrait permettre de forcer squid à ne pas tenter d’utiliser IPv6. Pour l’instant, les essais de configuration ne sont pas concluant.

Les directives mentionnées sont :
- http_port (indiquer une IPv4 en plus du port pour forcer le protocole) ;
- *_incoming_address.

digest¶

À noter qu’il y a un message concernant une désactivation temporaire :

temporary disabling (Internal Server Error) digest from proxy.ac-test.fr

Après tentative de recompilation sans support IPv6, la situation semble la même.

squid -v
Squid Cache: Version 6.10
Service Name: squid
Ubuntu linux

This binary uses OpenSSL 3.0.13 30 Jan 2024. configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--disable-option-checking' '--disable-silent-rules' '--libdir=${prefix}/lib/x86_64-linux-gnu' '--runstatedir=/run' '--disable-maintainer-mode' '--disable-dependency-tracking' 'BUILDCXXFLAGS=-g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/tmp/tamarin_2s40q7uq/src=. -flto=auto -ffat-lto-objects -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/tmp/tamarin_2s40q7uq/src=/usr/src/squid-6.10-0ubuntu1.24.04.1 -Wno-error=deprecated-declarations -Wdate-time -D_FORTIFY_SOURCE=3 -Wl,-Bsymbolic-functions -flto=auto -ffat-lto-objects -Wl,-z,relro -Wl,-z,now ' 'BUILDCXX=g++' '--with-build-environment=default' '--enable-build-info=Ubuntu linux' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,SMB_LM' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-security-cert-validators=fake' '--enable-storeid-rewrite-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--disable-ipv6' '--with-default-user=proxy' '--enable-linux-netfilter' '--with-systemd' '--with-openssl' '--enable-ssl-crtd' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/tmp/tamarin_2s40q7uq/src=. -flto=auto -ffat-lto-objects -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/tmp/tamarin_2s40q7uq/src=/usr/src/squid-6.10-0ubuntu1.24.04.1 -Wno-error=deprecated-declarations' 'LDFLAGS=-Wl,-Bsymbolic-functions -flto=auto -ffat-lto-objects -Wl,-z,relro -Wl,-z,now ' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=3' 'CXXFLAGS=-g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/tmp/tamarin_2s40q7uq/src=. -flto=auto -ffat-lto-objects -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/tmp/tamarin_2s40q7uq/src=/usr/src/squid-6.10-0ubuntu1.24.04.1 -Wno-error=deprecated-declarations'

squid -k check
2025/04/30 15:32:28| WARNING: BCP 177 violation. Detected non-functional IPv6 loopback.
2025/04/30 15:32:28| aclIpParseIpData: IPv6 has not been enabled.
2025/04/30 15:32:28| aclIpParseIpData: IPv6 has not been enabled.
2025/04/30 15:32:28| aclIpParseIpData: IPv6 has not been enabled.
2025/04/30 15:32:28| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2025/04/30 15:32:28| Processing Configuration File: /etc/squid/common-squid1.conf (depth 1)
2025/04/30 15:32:28| WARNING: UPGRADE: ACL 'manager' is now a built-in ACL. Remove it from your config file.
2025/04/30 15:32:28| WARNING: empty ACL: acl nopeerproxy dstdomain "/etc/squid/domaines_nopeerproxy" 
2025/04/30 15:32:28| Processing Configuration File: /etc/squid/01inc-squid.conf (depth 1)
2025/04/30 15:32:28| Processing Configuration File: /etc/squid/common-squid2.conf (depth 1)
2025/04/30 15:32:28| Set Current Directory to /var/spool/squid

À ce stade, les causes des avertissements concernant l’utilisation d’IPv6 ne sont pas identifiées.

Les autres problèmes révélés par les logs semblent plus simples à corriger.

Doit-on traiter ces premiers problèmes dans un premier temps et passer plus de temps sur le problème d’IPv6 ?

Oui, on laisse les warning IPv6 de côté.
Nous ne souhaitons pas forcément gérer un squid recompilé en 2.10 juste pour ça (et si en plus ça corrige pas...).