Project

General

Profile

Tâche #9761

Scénario #9756: eSSL 2.4 : finalisation du portage de la version actuelle de l'eSSL 2.4

Il y a un nouveau patch concernant le common-squid qu'il faudrait intégrer dans le dico pur eole (en accord avec EN)

Added by Emmanuel IHRY over 6 years ago. Updated over 6 years ago.

Status:
Reporté
Priority:
Normal
Assigned To:
Philippe Carre
Target version:
Distribution EOLE - sprint 2014 48-49
Start date:
11/24/2014
Due date:
% Done:

0%

Estimated time:
4.00 h
Remaining (hours):
0.0

common-squid1.conf.patch View (1.56 KB) Philippe Carre, 12/01/2014 03:24 PM

common-squid2.conf.patch View (279 Bytes) Philippe Carre, 12/01/2014 03:24 PM

70_morea.xml View (8.79 KB) Philippe Carre, 12/01/2014 03:26 PM

Related issues

Copied to eSSL - Tâche #9948: Il y a un nouveau patch concernant le common-squid qu'il faudrait intégrer dans le dico pur eole (en accord avec EN) Fermé 11/24/2014

History

#1 Updated by Emmanuel IHRY over 6 years ago

  • Estimated time set to 1.00 h
  • Remaining (hours) set to 1.0

#2 Updated by Emmanuel IHRY over 6 years ago

  • Remaining (hours) changed from 1.0 to 4.0
  • Estimated time changed from 1.00 h to 4.00 h

#3 Updated by Philippe Carre over 6 years ago

  • Assigned To set to Philippe Carre
  • Remaining (hours) changed from 4.0 to 3.0

Le patch reprend quasiment la même chose que l'existant!!!
Sur un amon standard dans common-squid1.conf, on autorise des accès externes (acl %%nom_machine_eth src ...) lorsque des routes supplémentaires sont ajoutées :

acl %%nom_machine_eth src %%adresse_network_eth/%%calc_classe(%%adresse_netmask_eth)
 %if %%is_defined('route_adresse')
  %for %%i_route_adresse in %%route_adresse
   %if %%i_route_adresse.route_int == %%interface_key
acl %%nom_machine_eth src %%i_route_adresse/%%i_route_adresse.route_netmask
   %end if
  %end for
 %end if

Pour le MEDDE, il n'est pas logique de faire ajouter des routes statiques pour autoriser d'autres sites, toutes les routes de notre VPN sont connues.
Pour simplifier, et éviter d'embrouiller les utilisateurs, on a ajouté 2 variables sites_dist_ip et sites_dist_netmask pour permettre l'ajout de sites distants autorisés à accéder au proxy de l'eSSL.
La variable sites_dist_ip a pour intitulé : "Réseaux supplémentaires, autorisés à accéder au Proxy et au cache DNS"

(même cas avec le DNS, #9760)

Patch en PJ. La ligne 8 du patch corrige un manque du fichier common-squid1.conf : oubli d'un %%calc_classe

#4 Updated by Philippe Carre over 6 years ago

  • Status changed from Nouveau to En cours

#5 Updated by Fabrice Barconnière over 6 years ago

Il manque le fichier de patch et le dico.

#6 Updated by Philippe Carre over 6 years ago

En effet...

Du coup j'en profite pour soumettre un nouvel ajout au patch common-squid1.conf !
J'ajoute la possibilité de déclarer une liste de réseaux IP , à utiliser sans proxy parents (ça concerne nos routes VPN).
Nouvelle acl : acl nopeerproxip dst "/etc/squid3/domaines_nopeerproxy_ip" , avec un nouveau fichier domaines_nopeerproxy_ip
( l'acl existante nopeerproxy concerne des liste de noms de domaines)

Ceci implique également la modif de common-squid2.conf : always_direct allow nopeerproxip

#7 Updated by Thierry Bertrand over 6 years ago

  • Status changed from En cours to Reporté
  • Remaining (hours) changed from 3.0 to 0.0

Also available in: Atom PDF