Client IRC et SME 6.0.1 [Résolu]

par **kerozene** » 02 Avr 2004 12:15

Mwerf...

petit moment que je cherche et non, décidement je trouve pas... alors soit j'ai vraiment besoin de vacances, soit j'ai pas assez bien cherché !!!

Je vous expliqe mon petit problème : mes petits copains (et belugha aussi) de #ixus sur Freenode me manquent !!! :-({|=

(tiens d'ailleurs y'a pas d'emoticons pour pleurer !)

Je voudrait bien retourner les voir mais je me suis malheureusement bloqué comme un gros nioub (oui je sais : que je suis !!!)

La semaine dernière, on a migré notre vieux serveur Redhat 5 + sendmail + squid pour une petite SME 6.0.1 avec squidguard, Clamav, etc...

Et depuis, blam... je me fait jeter par le serveur quand j'essaie d'aller rejoindre mes petits copains... mon X-chat sous ma debian me renvoie une erreur squid 403 (access denied) mais je comprend pas pourquoi cela arrive, dans les safe ports on trouve bien la plage de IRC...

Je me suis dit que cela pouvait être peut être du à Squidguard mais non puisque mon IP est en Full Accesset que l'erreur renvoyé correspond bien au fichier accessdenied des erreurs de squid...

ci dessous mon squid.conf si quelqu'un voit d'ou cela peut venir :

Code: Tout sélectionner: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localsrc src 127.0.0.1 192.168.0.1 192.168.0.2 etc... acl localdst dst 127.0.0.1 192.168.0.0/255.255.255.0 etc.... acl SSL_ports port 443 563 acl Safe_ports port 21 70 80 81 119 210 443 563 980 1024-65535 acl CONNECT method CONNECT acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK append_domain .toto.fr cache_mgr admin@toto.fr ftp_user nobody@toto.fr http_access allow manager localsrc http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localsrc http_access deny all redirect_program /usr/local/bin/squidGuard redirect_children 5 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on icp_access allow all miss_access allow all store_avg_object_size 3 KB cache_dir ufs /var/spool/squid 100 16 256 always_direct allow webdav always_direct allow all

A votre bon coeur !!!!

Merci d'avance à tous ceux qui se pencheront sur le problème....

++

Kero qu'a plus d'amis sur IRC ;-)

par **belugha** » 02 Avr 2004 13:07

Mon lapin tu me manques aussi

Nous allons nous pencher sur ton problème :wink:

par **arapaho** » 02 Avr 2004 13:13

Plop toi

Vire le 1024-65535 de la ligne acl Safe_ports et refarde si ca passe

par **belugha** » 02 Avr 2004 13:18

Tiens Kero, petit cadeau http://christian.caleca.free.fr/squid/p ... _squid.htm

Et reviens vite ...................................

par **kerozene** » 02 Avr 2004 16:50

bon bah je suis désolé les enfants, j'ai pas eu le temps de voir et la semaine prochaine je suis en congé...

je teste dès que je reviens et bonne vacance à tous...

par **kerozene** » 15 Avr 2004 15:45

ca y'est j'ai pu testé.... et ca marche pô !!!

ca me gonfle je n'ai vraiment pas la moindre idée d'ou cela peut venir !!!

Help me !!!

par **swapfiles** » 15 Avr 2004 17:20

'lut.

Je vais peut-être dire une $%#&! mais as-tu essayer en configurant xchat de passer par un proxy???

Moi je rentre de vacances et j'ai le cerveau mou donc...soyez indulgeant...merci.

par **kerozene** » 16 Avr 2004 07:58

Et le grand gagnant est : ...... Surement pas swapfile, qui ferait mieux de repartir en vacance ;-)

!!!

X-chat est bien configuré pour utiliser le proxy (192.168.0.1:3128) en http... et Squid me bloque donc avec une erreur 403, accès refusé !!!

Sur le site de GrandPa, j'ai vu comment on faisait pour signaler à Squid si on voulait qu'il soit transparent ou pas... le problème c'est que je ne sais pas si cela peut venir de là, je ne sait pas non plus en quel mode est actuellement mon proxy (plus exactement je ne sais pas comment le savoir !!!) et que je n'ose pas faire le test car j'ai de nombreuses rêgles en place pour limiter les $%#&! de mes utilisateurs !!! En fait globalement je n'ai qu'une vague idée de ce qu'apporte la transparence à un proxy... :roll:

par **belugha** » 16 Avr 2004 08:19

Salut Kero,

Sur mon Ipcop, mon proxy est en transparent, cela veut dire que nulle par sur les PC je lui indique l'adresse du proxy et son port, Ipcop le gére tout seul. Donc pour me connecter sur IRC je ne lui indique aucun proxy.

Maintenant, je n'utilise pas non plus squid donc ...

Je vais continuer à chercher car je voudrais bien retrouver mon ami Kero :biz:

par **kerozene** » 16 Avr 2004 08:33

oui d'accord ok, donc pour résumer, quand le proxy est transparent, il suffit aux utilisateurs de mettre leur proxy en passerelle et vogue la galère... donc pas interessant je pense dans mon cas !

par **belugha** » 16 Avr 2004 08:34

D'aprés ce que j'ai pu lire le proxy squid de la SME est en transparent.

Peux-tu essayer de faire un essai en le désactivant ?

[root@]# /sbin/e-smith/db configuration setprop squid Transparent no
[root@]# /sbin/e-smith/expand-template /etc/squid/squid.conf
[root@]# /sbin/e-smith/signal-event remoteaccess-update
[root@]# /sbin/service squid restart

par **belugha** » 16 Avr 2004 08:53

Peut-être une solution pour contourner le pb !
http://www.zdnet.fr/telecharger/windows ... 77s,00.htm

et

http://httport-fr.ifrance.com/httport-fr/FAQ.htm

par **tomtom** » 16 Avr 2004 09:42

kerozene a écrit:
http_access allow manager localsrc
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localsrc
http_access deny all

Sans vouloir m'avancer, il faudrait je pense que tu autorises la methode connect pour ton ip au moins...

donc avant le "http_access deny CONNECT !SSL_ports", t u devrais autoriser ton ip..

->

Code: Tout sélectionner: ... [color=rouge]acl myip src ton.ip.atoi.ici[/color] ... http_access allow manager localsrc http_access deny manager [color=red]http_access allow myip[/color] http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localsrc http_access deny all

Ainsi, tu autorises pour ton ip la methode CONNECT, même si c'est pas sur un port SSL (ce qui est le cas pour irc).

Bon courage,

t.

par **kerozene** » 16 Avr 2004 10:18

SUPER !!!!

Merci TomTom, voilà que cela marche...

Belugha, je suis désolé, j'ai d'abord essayé la méthode de Tomtom car elle correspondait plus à ce que je voulais, ta solution étant plutôt une solution de contournement. Je ne l'ai pas essayé et je saurait te dire si elle fonctionne, mais je pense que c'est le cas.

Par contre c'est bien joli tout cela, je peux aisément constater que cela fonctionne mais par contre je ne comprend pas pourquoi... dis tomtom, je peux abuser et te demander de me l'expliquer ???

par **tomtom** » 16 Avr 2004 10:41

On est là pour ça, non ?

Le truc, c'est que squid est un proxy http...

Or, irc c'est pas vraiment un protocole http.. Mais alors, comment ca marche ?

Et bien on utilise une methode du protocole http qui est CONNECT. C'est une methode comme GET ou PUT.
CONNECT permet de se connecter sur un port à un serveur qui le supporte.

La plupart des proxy d'entreprises bloquent cette methode sans pitié, car cela permet de se connecter au travers d'un proxy à n'importe quel protocole TCP !!!

Mais.... Cette methode sert aussi a faire des connexions HTTPS... Donc pour utiliser le https, on autorise souvent le CONNECT sur les ports autorises du https, c'est à dire 443 en général. D'ou la ligne de confgi ACL qui autorise uniquement le CONNECT sur les port SSL_ports.

Pour resoudre ton problème, tu avais donc besoin que ton ip puisse utiliser la methode CONNECT, même sur un port non SSL. En fait, j'ia fait un peu plus, ton ip ets autorisée à tout faire sur le squid.

Voilou, la doc de squid explique cela quelquepart surement, je ne sais plus ou !

t.

Client IRC et SME 6.0.1 [Résolu]

Client IRC et SME 6.0.1 [Résolu]

Re: Client IRC et SME 6.0.1

Qui est en ligne ?