Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Je vais peut être faire le lourd...

Mais je suis en train de faire d'autres reverse proxy pour Drive et Moments...

Et je me dit que le faire pour Mail Station serait peut être pas mal...

Avant de finaliser le tout, je me dit "tiens on va d'abords essayer pour voir si déjà... ça fonctionne".

Problème, lorsque je tape : https://mail.ndd.tld je tombe sur ça : (au lieu de roundcube !)

Capture_d_cran_2018_09_07_19_23_34.png

Ce qui est étrange... ce que leur certificat https montre... les miens 😕

Je... je ne l'explique pas...

Dans l'attente, j'ai supprimé le reverse proxy de mail station... et maintenant la page n'est plus accessible... comprends plus ^^

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Bon et bien impossible à remettre en place 😅

J'ai même tenté et mettant autre chose comme :

Capture_d_cran_2018_09_10_19_01_15.png

Et bien impossible de sortir la page web de "web station" (même en activant le forçage http vers https via le fichier .htaccess).

Donc on va laisser tomber l'affaire mais... question ^^

Peut-on utiliser le reverse proxy pour round cube ?

Et si oui, comment ?

 

Dernier point... mais là c'est hors sujet...

J'ai régulièrement des tentatives de connexion venant d'autres pays (3 tentatives en 60 minutes pour bloquage de l'IP).

Aujourd'hui par exemple j'ai eu mon record de tentatives : 50 😲

C'est normal ?

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Le FW (Fire Wall), et bien activé sous DSM et Freebox comme indiqué sur le tuto sécurité.

Il n'y a que le port 80 que je dois modifier, ouverture TCP :

- France (uniquement).

- IP Let's Encrypt (certificats).

Capture_d_cran_2018_09_10_21_50_37.png Capture_d_cran_2018_09_10_21_51_20.png

Mais les tentatives restent (port 25 ???).

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Pour reprendre mes messages précédents, je suis aujourd'hui à 20 tentatives bloquées par Mail Server  🙄

Vous êtes certains que ça ne commence pas à faire beaucoup depuis hier (où j'étais à 50) ?

Cher utilisateur,
L'adresse IP [82.213.227.140] a connu 3 tentatives échouées en essayant de se connecter à Mail Server ouvert sur NAS dans un intervalle de 60 minutes, et a été bloquée à Tue Sep 11 20:20:14 2018.
Sincères salutations,
Synology DiskStation

Je préfère vous redemander pour être vraiment certain 😞

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, alan.dub a dit :

L'adresse IP [82.213.227.140] a connu 3 tentatives échouées en essayant de se connecter à Mail Server ouvert sur NAS dans un intervalle de 60 minutes, et a été bloquée à Tue Sep 11 20:20:14 2018.

 

il y a 31 minutes, Jojo (BE) a dit :

Tu peux rajouter cette IP dans la liste de IP à bloquer (sur ton Syno)

 

Déjà fait par le système... Et le je te cîte "gugus" peut très bien avoir un pc zombie qui en gros veut dire que sa machine est utilisée par un pirate comme beaucoup d'autres machines dans le monde pour faire pas mal de mauvaises choses !

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Salut et merci pour ce tuto.

J'ai actuellement videostation, filestation, audiostation pour lesquels j'ai créé un sous-domaine et configuré un reverse proxy. Après plusieurs jours d'essais je constate qu'il m'est impossible d'utiliser videostation en https si la connexion de destination n'est pas aussi en https. Il est donc obligatoire de définir l'intégralité des échanges en https dans la configuration du reverse proxy pour videostation, c'est-à-dire de la source à la destination.

J'espère que ce court commentaire pourra aider certains à résoudre d'éventuels problèmes s'il sont dans la même situation que moi auparavant...

Autre remarque : Les liens de partage ne fonctionnent pas car l'adresse de partagée n'est pas correcte. Celle indiqué correspond à celle de destination du reverse proxy et non celle que les utilisateurs utilisent pour se connecter. C'est bien malheureux et je me demande si quelqu'un n'aurait pas une solution...

Par exemple : Je me connecte à filestation depuis mon sous-domaine : https://filestation.ndd.fr    ... je cherche mon fichier que je souhaiterais partager, fais un clic droit > partager le fichier  ... et là on constate que l'adresse n'est pas la bonne puisque il me propose celle de destination du reverse proxy, c'est-à-dire : https://files.ndd:23456/fjhfksguk/  ce port n'est biensûr pas autorisé dans le pare-feu puisque tout passe par le port 443...

Que faire ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Un grand merci pour ce tuto très bien détaillé 👍

Je suis en IP dynamique avec un NDD chez OVH, j'ai donc :
- configuré les reverse proxy moments, file, note, audio, drive, cloud (redirigé du https vers les ports standard de chaque appli)
- configuré le DynHost chez OVH
- configuré le DynHost sur le synology
- créé des entrées CNAME dans la zone DNS de OVH

Tout est fonctionnel sauf mon application Drive sur Windows où j'ai le message suivant : "La connexion a échoué. Veuillez vérifier vos paramètres réseau puis réessayez."
L'application mobile n'a pourtant aucun soucis quand je me connecte de la même manière.

L'adresse utilisé est drive.mondomaine.fr:443 qui est ensuite redirigée par le reverse proxy sur localhost (mon NAS) sur le port standard 10002.

D'après ce lien, le port 6690 est peut-être concerné... j'ai bien testé avec l'adresse cloud.mondomaine.fr:443 (redirigée par le proxy sur du localhost:6690) mais pas mieux...

Je sèche un peu là... est-ce que quelqu'un a eu ce cas ?

Merci

Modifié par bryce426
Lien vers le commentaire
Partager sur d’autres sites

Si cela peut servir à d'autres, j'ai pu affiner un peu la sécurité pour chaque proxy inversé en ne donnant l'accès qu'à certaines IP ou plages IP.
Cela diffère du blocage des IP au niveau du pare-feu qui va s'applique sur un/des port(s) en particulier(s).
Là on va pouvoir affiner ce qu'on a pas pu faire par le pare-feu et gérer par proxy.

Pour moi, le but recherché était surtout de restreindre le plus possible l'accès à la partie DSM aux adresses LAN, VPN ou fixes (celle du boulot, d'un ami, etc...).

La manipulation est la suivante :

  • Créer un profil de contrôle d'accès :
    • Aller sur Panneau de configuration > Portail des applications
    • Sur l'onglet Profil de contrôle d'accès
    • Cliquer sur Créer
    • Dans la nouvelle fenêtre, cliquer Créer pour chaque adresse CIDR que vous souhaitez ajouter (voir ici si besoin d'infos)
      Par exemple pour n'autoriser que le LAN (je ne sais pas si le le 127.0.0.0/8 a vraiment une utilité) :
      capture_lan.png.5deadbdaa6c004b65629f77738b1cd78.png
      pour n'autoriser que le LAN et le VPN :
      capture_lan_vpn.png.4a8acf7c62965761d6918af8f4136cc3.png
       
  • Attribuer le profil de contrôle d'accès à la règle de proxy inversé :
    • Toujours sur Panneau de configuration > Portail des applications
    • Sur l'onglet Proxy inversé (fonctionne de même sur l'onglet application)
    • Sélectionner une de vos entrées proxy inversé puis cliquer le bouton Modifier
    • Cocher la case Activer le contrôle d'accès
    • Choisir le Profil de contrôle d'accès que vous souhaitez appliquer
    • Cliquer OK
      capture_proxy_inverse.png.d407c3cec99c79685def36cc2c3a9bea.png

 

Pensez bien à vérifier qu'en dehors des IP autorisés, vous tombez sur une erreur "page introuvable" :

navigateur_wan.png.71571fc16228b92aaf6d6bfd37db3ca1.png


(Ces manipulations ne dispensent pas des réglages pare-feu / blocage auto et autres manipulation à mettre en place pour sécuriser votre NAS)

Modifié par bryce426
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.