Aller au contenu

Haproxy 1.5.dev25-13

Zorgonaute84

Par Zorgonaute84
dans Paquets par SynoCommunity.com

 Partager

Messages recommandés

  • Réponses 149
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

gaetan.cambier
gaetan.cambier

si tu veux eviter de faire une modification : tu stop le paquet et tu le redemarre, et il prendra ta config autrement : dans le fichier : /var/packages/haproxy/scripts/start-stop-status tu

Zorgonaute84 Newbie

Zorgonaute84

Posté(e)
  • Auteur
Posté(e)

J'ai fais une extraction de la configuration de mon nas en .xml voici ce qu'on peut y trouver. Les redirections de ports se font en 2 étapes. Une de déclaration de service et une deuxieme d'attribution du service a une machine. Voici un exemple :

<service PortEnd="0" PortStart="80" Protocol="TCP/UDP" Name="MONSERVICE"/>

<rule DeviceMACAddress="xx:xx:xx:xx:xx:xx" DeviceIPAddress="192.168.1.2" Service="MONSERVICE" Enabled="true"/>

Le truc c'est qu'ici, mes redirections (qui ne fonctionnent pas) crée en ligne de commande n'apparaisse pas ! Est-ce qu'il n'y aurai pas un moyen de modifier directement le fichier xml avec ces redirections de ports différents, puis le réinjecter dans mon routeur ?

0
Lien vers le commentaire
Partager sur d’autres sites
Zorgonaute84 Newbie

Zorgonaute84

Posté(e)
  • Auteur
Posté(e)

Oui je sais c'est bizarre, pourtant ce son des redirections crées avec l'interface web et le xml est également généré par le routeur. Quand il s'agit d'une plage de port, pas de soucis la syntaxe est logique, mais quand il s'agit d'un seul port tous mes services ont un port end a 0 sauf 1 ! pourtant ils fonctionnent tous. Je vous dis, il est bizarre ce routeur...

0
Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e) (modifié)

Je viens de tester haproxy, ca fonctionne assez facilement, par contre coté https, faudrait un peu blindé la conf par defaut :

il y a pas mal d'algorithme considérer comme "weak"

donc, pour modifie cela, on peut ajouter dans le front end :

à la ligne bind : ajouter : (version secure et rapide (priorité aux algo 128bits))

ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL

ou version 100% secure (priorité aux algo 256bits)

ciphers AESGCM+AES256:AES256:AESGCM+AES128:AES128:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL

à la ligne option ajouter :

rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains

faite un tour sur le site https://www.ssllabs.com/ssltest/ avant et après et vous verrez la différence !

Modifié par Gaetan Cambier
0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)

Merci pour ton retour, tu peux faire une pull request pour modifier la conf par défaut? Il te faut juste te connecter à GitHub et éditer ce fichier: https://github.com/SynoCommunity/spksrc/blob/develop/spk/haproxy/src/haproxy.cfg la PR sera automatiquement crée

merci mais malheureusement, c'était pas ce fichier là

le fichier de config est généré par un autre fichier que j'ai trouvé et modifié

en attente d'acceptation ...

0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)

Merci Gaetan Cambier.

Je viens de faire les modifications que tu évoques.

Cela fonctionne parfaitement et les tests avant/après de ssllabs parlent d'eux même.

Avant :

mini_620799avant.jpg

Après :

mini_527730apres.jpg

Par contre, c'est quand même bizarre, tu devrait avoir un A+ avec cette config, tu n'a qu'un A (ce qui est très bien deja, je connait des site public qui sont une vrai catastrophe à ce test), faudrait creuser ....

Parfait merci, j'inclurai ça dans la prochaine release.

De rien

Par contre, c'est quand même bizarre, tu devrait avoir un A+ avec cette config, tu n'a qu'un A (ce qui est très bien deja, je connait des site public qui sont une vrai catastrophe à ce test), faudrait creuser ....

J'ai creuser moi meme, j'ai trouvé :

  • A+ is awarded to servers that use SHA256 certificates, but have a SHA1 intermediate. They should be given an A instead.

Ca vient du certificat en sha1 tout simplement ;)

0
Lien vers le commentaire
Partager sur d’autres sites
Vierxa Newbie

Vierxa

Posté(e)
Posté(e)

Par contre, c'est quand même bizarre, tu devrait avoir un A+ avec cette config, tu n'a qu'un A (ce qui est très bien deja, je connait des site public qui sont une vrai catastrophe à ce test), faudrait creuser ....

De rien

J'ai creuser moi meme, j'ai trouvé :

  • A+ is awarded to servers that use SHA256 certificates, but have a SHA1 intermediate. They should be given an A instead.

Ca vient du certificat en sha1 tout simplement ;)

Merci pour l'info mais un certificat en SHA256 ce n'est pas le même prix... Pour mon usage perso, le sha1 restera suffisant... :-)

0
Lien vers le commentaire
Partager sur d’autres sites
Diaoul Newbie

Diaoul

Posté(e)
Posté(e)

@Gaetan : Est-ce que la config par défaut est si catastrophique qu'il faudrait mettre à jour la config lors de l'update du SPK selon toi ? Ou est-ce que ça suffit de le faire pour les nouveaux utilisateurs ? Si je fais l'update sur les utilisateurs existants, quid de la rétrocompatibilité ?

Je m'autoquote parce que je n'ai pas eu de réponse à cette question :) Merci

0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e) (modifié)

Ben, c'est sur qu'elle était avec des cryptage totalement dépassé et donc facile a craquer pour certaines personnes. Donc ça serait bien un update pour tous de plus que peu de users vont se plonger dans les problèmes de sécurité. Pour la plupart ça fonctionne c génial. Maintenant côté comptabilité, les navigateurs supporté sont :

  • Internet explorer 6 et +
  • Chrome 1 et +
  • Firefox 1 et +
  • Opera 5 et +
  • Safari 1 et +
  • Android 2.3.7 et +
  • Java 6u45 et +
  • openssl 0.9.8y et +
  • IE Mobile 7 et +

C'est les versions que je suis sur que c'est ok, une version inférieur peut fonctionner mais je n'ai pas tous ses vieux navigateurs/systeme d'exploitation chez moi donc c'est en cherchant un peu sur le net que je peux donner cette liste

Maintenant, je connait un site public qui draine des milier d'utilisateur (tous les chomeurs belges) où la sécurité est bien pire, je crois même qu'on ne saurait pas faire pire : https://www.ssllabs.com/ssltest/analyze.html?d=leforem.be

Mais le but, c'est qd même de ne pas faire comme eux

PS: désolé de pas avoir répondu avant, n'avait pas vu le message et je suis depuis mon Gsm ;)

Modifié par Gaetan Cambier
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.