Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2955 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Question de redirection ...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question de redirection ...

n°925284
sneakz
Posté le 20-06-2007 à 19:33:34  profilanswer
 

Bonsoir,
 
J'ai une petite question peut-être relative à Apache2
 
- 2 machines derrière un pare-feu (patte ADSL, patte DMZ et patte réseau local)
- la première machine derrière le réseau local dispose d'un serveur Apache en écoute sur le port 80 concernant le chemin monsite.fr
- la deuxième machine sur la DMZ dispose d'une application en socket d'écoute sur le port 26000
- mon DNS est géré de la façon suivante : l'IP publique (disons 83.192.150.150) pointe sur le nom domaine monsite.fr et sur monautresite.fr
 
Lorsque je fait pointer mon navigateur sur monautresite.fr:26000, je me connecte correctement à l'application.
Lorsque je fait pointer mon navigateur sur monautresite.fr, je suis redirigé sur monsite.fr ce qui est normal. Or j'aimerai qu'une connexion sur  monautresite.fr me redirige sur monautresite.fr:26000.
 
Faut-il que je configure apache pour être en écoute sur monautresite.fr et qu'il redirige sur monautresite.fr:26000 ?
Existe t-il une autre solution ?
 
Merci


Message édité par sneakz le 20-06-2007 à 19:34:57
mood
Publicité
Posté le 20-06-2007 à 19:33:34  profilanswer
 

n°925359
fighting_f​alcon
Posté le 21-06-2007 à 08:26:24  profilanswer
 

Citation :

Faut-il que je configure apache pour être en écoute sur monautresite.fr et qu'il redirige sur monautresite.fr:26000 ?


 
oui, c'est ce que l'on appelle du reverse proxy
 

Citation :

Existe t-il une autre solution ?


 
A priori non, je ne vois pas ...
 
Puisque tu n'as qu'une seule @Ip publique, pour faire ta séparation, tu te bases sur le nom de domaine, donc tu es déjà au niveau couche 7 du modèle OSI. Donc seul Apache pourra faire la différence, au niveau de ton parfeu, tu ne pourrais au pire remonter qu'en couche 3 ou 4 pour voir les IPs et les ports

n°925504
sneakz
Posté le 21-06-2007 à 14:15:35  profilanswer
 

Il faut donc que je pose un autre VirtualHost avec un RedirectMatch ^/$ http://monautresite.fr:26000.
 
Cette configuration est-elle juste ?
 
Est-ce que cela pose pas un problème de sécurité dans la mesure contrairement à ce que j'ai précisé sur le premier post, monautresite.fr:26000 est sur la DMZ et monsite.fr est sur la patte LAN ?


Message édité par sneakz le 21-06-2007 à 14:20:35
n°925680
fighting_f​alcon
Posté le 21-06-2007 à 19:33:58  profilanswer
 

tu as deux soluce pour faire cela dans apache :
 
* effectivement, un redirectmatch. Mais dans ce cas, ton apache va se contenter de répondre au client un code de retour 302, c'est à dire "tu es gentil, mais ce n'est pas là que tu veux aller, demande plutôt à telle adresse". Et tu vas donc avoir dans la foulée une 2ème requête de la même provenance mais vers monautresite.fr:26000
 
* soit en utilisant le mode proxy d'apache
Dans ce cas, ton apache va faire bien plus, il va jouer le rôle de reverser proxy. C'est à dire que c'est lui (apache) qui va se connecter à monautresite.fr:26000 et demander la page. Une fois qu'il aura eu la réponse, il la renverra au client. Pour le client, ce sera ton apache qui sert le site monautresite.fr:26000, il ne vera jamais le vrai service derrière qui écoute le port 26000
 
 
Maintenant question sécurité :
* ton site monsite.fr c'est lui qui devrait être en DMZ (par définition DMZ = accessible de l'extérieur et de l'intérieur, par contre rien ne rentre vers l'intérieur depuis la DMZ )
 
Dans tous les cas, je te conseille donc vivement si c'est possible de basculer ton site monsite.fr dans ta DMZ
 
* en utilisant la version avec le module proxy d'apache, tu pourrais mettre ton serveur sur le port 26000 sur ton LAN, car le reverse proxy permet de protéger un peu les choses. C'est ton apache qui se prend les attaques en frontal et en plus, tu es sur qu'il n'y aura que lui qui se connectera à ton serveur port 26000

n°925740
sneakz
Posté le 21-06-2007 à 22:50:57  profilanswer
 

Les explications sont très claires et complètes.
Merci beaucoup fighting_f alcon. L'approche est très pédagogue.
 
J'ai donc basculé monsite.fr sur la DMZ. Ce que je souhaite sécuriser absolument c'est monautresite.fr:26000.
 
http://cjoint.com/data/gvxbwY4Dvk_schema.png
 
Si je suis ton raisonnement concernant le reverse proxy, pour qu'apache puisse se connecter sur la socket d'écoute sur le port 26000, il faut que je configure le pare-feu pour qu'il autorise un transfert de port depuis la DMZ vers le LAN monautresite.fr (monautresite => 80 vers monautresite.fr => 26000)
 
Ma question est alors la suivante : si le serveur hébergeant monsite.fr sur la DMZ se fait hacker (1), est-ce que je n'ouvre pas une porte (trou de sécurité) vers le serveur monautresite.fr sur le port 26000 ?
 
(1) le site monsite.fr est plus sujet à des failles de sécurité
 
Encore merci


Message édité par sneakz le 21-06-2007 à 23:01:22
n°925791
fighting_f​alcon
Posté le 22-06-2007 à 08:21:43  profilanswer
 

Tu as tout compris pour le reverse proxy, c'est bien cela
 
Pour ta question sécurité, si bien sur que ca ouvre une faille ... maintenant la protection 0 n'existe pas, tout ce qui parle de sécurité le dit ainsi : si vous voulez être protégé à 100%, une seule solution, débranchez vous ...
 
Maintenant pour hacker ton serveur en interne, il faut déjà que le hacker sache qu'il faut partir du port 80 en DMZ pour appeler le port 26000 en interne. Je sais c'est dans la conf d'apache, mais le hacker n'arrive sur ton serveur en DMZ que via le port 80, donc il aurait déjà à faire pour casser ton apache et pouvoir lui faire faire beaucoup de choses ...
Si tu as vraiment des trucs qui craignent sur ton LAN et que tu n'aimes pas cette idée de porte ouverte DMZ -> LAN ( ce qui est tout à faire compréhensible, je ne dis pas le contraire !!! ), déplace (si tu le peux) ton service écoutant le port 26000 dans ta DMZ

n°926187
sneakz
Posté le 22-06-2007 à 20:39:27  profilanswer
 

Complet, clair et précis, merci fighting_f alcon [:and garfunkel]

n°926562
fighting_f​alcon
Posté le 25-06-2007 à 08:25:48  profilanswer
 

:jap: et de rien ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Question de redirection ...

 

Sujets relatifs
Question sur l'authentification SambaQuestion au possesseurs de SB Live!/Audigy avec rack
[Iptables] Petite question PREROUTINGredirection syslog dans une console ?
question sur cactiRedirection de mail
Redirection ipquestion fonctionnement postfix
[Question] Plusieurs OS sur partitions[Apache2] redirection bizarre vers apache2-default
Plus de sujets relatifs à : Question de redirection ...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR