Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

  • 2 semaines après...

A tous,

Le tuto est très intéressant et m'a permis d'en apprendre beaucoup. Par contre, il me semble que certaines informations sont obsolètes et peut-être même "dangereuses". Je ne suis pas expert, mais je me pose des interrogations.

La principale concerne l'ouverture des ports vers Let's Encrypt. L'objectif est compréhensible, sauf que sur le site Let's Encrypt, il y est clairement indiqué que les adresses IP ne sont pas publiées et sont changeantes. Donc, comment faire confiance dans le temps aux IP fournies (en 2018). Si le site est USA et que l'on souhaite limiter les attaques de pays exotiques en ciblant fortement les sources d'accès, il suffit d'autoriser les ports 80 et 443 et d'y associer la région USA. Mais bon, avec un VPN, il est possible de se faire passer pour n'importe quel pays, a priori... Bref, ces entrées avec deux IP fixes dont il n'est pas possible de se procurer officiellement les adresses me laissent perplexe !

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres. La redirection fonctionne si j'utilise un numéro de port autorisé, mais cela m'oblige à l'ajouter à l'URL (https://mondomaine.fr:num_port), donc :

  • soit, je suis un mauvais et j'ai rien pigé : cette probabilité est sans doute supérieure à 50% 🙂
  • soit, il faut procéder à une demande auprès du fournisseur,
  • soit ces ports sont réservés à la box et sont donc interdits à l'usage,

A moins qu'une bonne âme m'aide sur ce cout,  je vais chercher encore  pour cette redirection vers le Syno via un nom domaine officiel et sans numéro de port pour adresser le bon service... J'arrive déjà jusqu'à la console DSM (en ajoutant le numéro de port à mon domaine), c'est déjà une bonne progression 🙂

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, blq a dit :

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres. La redirection fonctionne si j'utilise un numéro de port autorisé, mais cela m'oblige à l'ajouter à l'URL (https://mondomaine.fr:num_port), donc :

  • soit, je suis un mauvais et j'ai rien pigé : cette probabilité est sans doute supérieure à 50% 🙂
  • soit, il faut procéder à une demande auprès du fournisseur,
  • soit ces ports sont réservés à la box et sont donc interdits à l'usage,

Bonjour @blq :

https://dev.freebox.fr/bugs/task/24353

 

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Je pense qu'en effet le tutoriel n'est plus à jour concernant les IP, ça ne date que de quelques mois, et @Kawamashi n'est pas spécialement actif sur le forum si je ne m'abuse, peu de chance que ce soit corrigé.
Je pense que tu peux raisonnablement ouvrir le port 443 sur ton NAS à ton pays de résidence, éventuellement d'autres suivant tes habitudes de connexion.
Quant au port 80, si tu utilises un certificat wildcard normalement tu n'as aucun port à ouvrir, car la validation se fait au niveau de la zone DNS, qui est gérée par Synology sur leurs serveurs (pas testé, mais ça marche comme ça pour les autres hébergeurs).
Si tu utilises un nombre fini de domaines définis, tu ne l'ouvres qu'au moment où tu le renouvelles (action faite manuellement du coup).

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, blq a dit :

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres

Ça, c'est parce qu'en raison de la pénurie d'IP V4, depuis quelques temps Free partage une même IP entre plusieurs utilisateurs (en attribuant des plages de ports à chaque utilisateur). Donc si tu n'a pas la chance d'avoir la plage de début, tu ne peux pas utiliser les ports 80 et 443...

Mais ce problème est facile à régler : dans ta console d'administration, tu peux demander une IP "full- stack", c'est à dire avoir une IP pour toi tout seul ... (attention, cela va modifier l'IP fixe qui t'était attribuée).

image.png.b2d6a8a9f8fc582bcaca7fa8bf015ead.png 

Lien vers le commentaire
Partager sur d’autres sites

Le 06/05/2020 à 22:08, GrOoT64 a dit :

Bonjour @i-Moi,

il n'y a pas d'édition à faire sur le fichier .html (c'est la page de garde d'un site Web) Le seul fichier à modifier, c'est le .htaccess qui doit être créé.

Je ne me suis pas posé cette question car pour moi QuickConnect, c'est la porte ouverte à toutes les fenêtres

Si tu préfères taper "vidéo.toto.com" alors rentres celle-la dans ton reverse proxy. Le NAS redigera cette adresse (et uniquement celle-la) vers VideoStation.

A mon avis, réinstaller WebSation pour avoir un fichier .html vierge et reprendre le tuto.

grand merci !

Lien vers le commentaire
Partager sur d’autres sites

De rien @i-Moi !
Petit correction d'ailleurs Si tu préfères taper "vidEo.toto.com" alors rentres celle-la dans ton reverse proxy. Le NAS redigera cette adresse (et uniquement celle-la) vers VideoStation. (pas d’accents dans une adresse web!)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je viens de suivre ce tuto pour File Station en utilisant le port 45002 et le nom d’hôte "files.ndd.tld" (pour info mon NAS est accessible à monNAS.ndd.tld).

Problème en tapant https://files.ndd.tld dans mon navigateur j’obtiens une erreur "adresse intourvable".

Edit : Coté regristrar je fais pointer un CNAM "*.ndd.tld" vers mon A "ndd.tld" qui pointe vers mon IP externe.
Sur mon NAS j'ai désactivé la redirection du HTTP vers le HTTPS.
Mon NAS est derrière un RT lui même en DMZ de ma Livebox : je n'ai rien fait sur la Livebox et j'ai transféré les ports 80 et 443 vers mon NAS sur le RT.
les ports 80 et 443 sont ouverts sur mon NAS.

Avez-vous une idée de ce qui peut clocher ?

@oracle7 et @GrOoT64 peut être ? Je sais que vous avez pas mal regardé le sujet.

Cordialement,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, TuringFan a dit :

Coté regristrar je fais pointer un CNAM "*.nddd.tld" vers mon IP externe.

Tu es certain de ça ? Un CNAME ne peut pas pointer vers une IP...

Tu devrais avoir un enregistrement A qui fait pointer ndd.tld vers ton IP externe, et un enregistrement CNAME qui fait pointer *.ndd.tld vers ndd.tld

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64,

Concernant le cas des certificats wildcard cela semble en effet un plus en terme de sécurité.

Je n'y connais pas grand chose mais dans le cas d'une personne mal intentionnée ne serait-ce pas simple pour elle de retomber sur une information équivalente à la liste exhaustive de tes sous domaines en scannant les ports ouverts ?
Il pourrait comme cela méthodiquement essayer de rentrer port par port non ?
Quel serait le danger supplémentaire à ce qu'il obtenne la liste exhaustive de tes sous domaines ?

il y a 1 minute, Kramlech a dit :

Tu es certain de ça ? Un CNAME ne peut pas pointer vers une IP...

Tu devrais avoir un enregistrement A qui fait pointer ndd.tld vers ton IP externe, et un enregistrement CNAME qui fait pointer *.ndd.tld vers ndd.tld

Oui pardon tu as raison. Je fais un edit dans mon post.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @TuringFan,

Moi je n'en utilise pas. Je ne fais pas non plus pointer *.ndd.tld vers ndd.tld mais j'ai fais un CNAME pour chaque domaine existant. C'est une question de choix et si tu tapes troudesfesses.ndd.tld ça ne pointe pas chez moi du coup 😄 
 

il y a 8 minutes, TuringFan a dit :

Quel serait le danger supplémentaire à ce qu'il obtenne la liste exhaustive de tes sous domaines ?

Dans mon cas, j'ai des domaines qui pointent directement sur mon DSM ou sur SRM limités aux IP LAN/VPN mais pour un méga bon hackeur tout est contournable !

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, GrOoT64 a dit :

C'est une question de choix et si tu tapes troudesfesses.ndd.tld ça ne pointe pas chez moi du coup

Je suis maintenant convaincu ...

il y a 2 minutes, GrOoT64 a dit :

Dans mon cas, j'ai des domaines qui pointent directement sur mon DSM ou sur SRM limités aux IP LAN/VPN m

Ok mais si "le pirate" s'amuse a scanner ton IP externe et qu'il tente port par port ça revient au même non ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, TuringFan a dit :

Ok mais si "le pirate" s'amuse a scanner ton IP externe et qu'il tente port par port ça revient au même non ?

Même avec ndd.tld c'est le cas ça... Et on ne peut malheureusement rien y faire.

Lien vers le commentaire
Partager sur d’autres sites

Le 20/05/2020 à 14:56, .Shad. a dit :

Je pense qu'en effet le tutoriel n'est plus à jour concernant les IP, ça ne date que de quelques mois, et @Kawamashi n'est pas spécialement actif sur le forum si je ne m'abuse, peu de chance que ce soit corrigé.

Je viens de corriger le tuto car il est vrai que cette info obsolète induit tout le monde en erreur.

Lien vers le commentaire
Partager sur d’autres sites

donc ça fonctionne toujours pas ?

Il y a 1 heure, TuringFan a dit :

Problème en tapant https://files.ndd.tld dans mon navigateur j’obtiens une erreur "adresse intourvable".

Je sais ! Enfin je pense !
Tu as un serveur DNS sur le routeur non ? Si c'est le cas, il faut enregistrer un type A de file.ndd.fr vers IP.du.NAS sur ton serveur DNS !

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

Hello tous!

je viens ici pour avoir un peu vos lumières sur un souci de reverse proxy surêment bête (ou de DNS), mais je m'arrache les cheveux

Il s'agit d'accéder à mon contrôleur Unifi cloud key depuis l'extérieur, sur une adresse "simple" avec HTTPS et un certif Let'sEncrypt

J'ai donc chez OVH une entrée A "unifi.toto.com" qui pointe vers mon IP publique, et j'ai fait le certificat sur le NAS et créé le reverse proxy

Tout est ok depuis l'extérieur sur https://unifi.toto.com, j'arrive bien sur ma page Unfi controller. Tip top.

Mais sur mon réseau local, impossible de me rendre sur https://unifi.toto.com, obligé de passer par https://192.168.xxx.xxx:8443

De ce que je vois sur le net et même sur le forum, personne ne semble être confronté à ce genre de problème

Si vous avez des idées, elles seront les bienvenues 🙂 🙂 

a++

Modifié par mcdrokz74
Lien vers le commentaire
Partager sur d’autres sites

Depuis ton réseau local, tu ne peux accéder à une URL qui pointe sur ce même réseau local que :

  • si ton routeur est capable de gérer le loopback (les box Free le font, certains routeur le font, pour les autres box, je ne sais pas)

ou

  • si tu as installé un serveur DNS sur ton NAS (voir le tuto)

ou

  • si tu as modifié le fichier hosts de ton ordinateur

Ceux qui n'ont pas ce problème sont dans un de ces trois cas ...

Lien vers le commentaire
Partager sur d’autres sites

merci pour ta réponse!

oui en effet j'ai la possibilité de créer des règles NAT avec une coche "Enable NAT Loopback" dans mon firewall (Zywall USG), ou alors doi-je modifier mes règles NAT existantes ?

je ne saurais pas trop comment faire ces règles en intégrant le loopback 😞 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.