Thierry94 Posté(e) le 31 janvier 2019 Partager Posté(e) le 31 janvier 2019 Bonjour, Tout d'abord je précise que j'ai bien suivi les recommandations de Fenrir pour sécuriser les accès à mon NAS (merci à lui pour ce très bon tuto). Pour compléter je viens de mettre en place le reverse proxy pour les accès https aux applications (audio, photo, surveillance, ...) afin de n'avoir à ouvrir que le port 443 sur ma Box. Tout fonctionne très bien, mais j''ai une interrogation quand au mécanisme de fonctionnement autour du port 443 et je n'ai pas trouvé d'explication. Voici mon interrogation : Une requête internet arrive sur le port 443 de ma Box Le routage mis en place sur la box envoi la requête vers mon NAS sur le port 443 Le firewall du NAS vérifie que la requête respecte bien les conditions définie dans la règle du port 443 et la refuse si pas OK Ensuite c'est le reverse proxy qui prend la en charge la requête et si il trouve une ligne correspondante à la source effectue le routage vers la destination interne paramétrée Que se passe t-il lorsqu'aucune ligne du reverse proxy ne correspond à la requête entrante ? Si je fais un parallèle avec le pare feu dans ce dernier j'ai bien une règle qui indique quoi faire si aucune règle n'est respectée (refuser l'entrée) Y a t-il un équivalent pour le reverse proxy ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 31 janvier 2019 Partager Posté(e) le 31 janvier 2019 Si l'url ne correspond à rien, elle ne sera pas résolue. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 31 janvier 2019 Auteur Partager Posté(e) le 31 janvier 2019 Merci Mic13710 pour ta réponse OK je peux donc être tranquille avec mon port 443 ouvert vers le NAS. Avant je passais par un port particulier pour l'accès externe à Photo Station et à Surveillance Station. Mais grâce au Tuto de Fenrir sur le reverse proxy et le dns local, et ton retour sur ce tuto je me suis lancé dans la mise en place de reverse proxy et du DNS local … Maintenant c'est plus cool à gérer ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 31 janvier 2019 Partager Posté(e) le 31 janvier 2019 Bonsoir, Citation Une requête internet arrive sur le port 443 de ma Box On est d'accord. Le routage mis en place sur la box envoi la requête vers mon NAS sur le port 443 Oui Le firewall du NAS vérifie que la requête respecte bien les conditions définie dans la règle du port 443 et la refuse si pas OK Oui Ensuite c'est le reverse proxy qui prend la en charge la requête et si il trouve une ligne correspondante à la source effectue le routage vers la destination interne paramétrée Oui Tu as vu, c'est simple 😂 Citation Que se passe t-il lorsqu'aucune ligne du reverse proxy ne correspond à la requête entrante ? La personne sera renvoyée sur une page d'erreur 403. Mais bon, à partir du moment ou tu n'as pas de certificat wildcard, il est très facile d'obtenir les domaines de ton domaine principal en checkant simplement le certificat. Ex à l'instant avec un prit au hasard sur la toile : Citation Si je fais un parallèle avec le pare feu dans ce dernier j'ai bien une règle qui indique quoi faire si aucune règle n'est respectée (refuser l'entrée) Là, ça prendra en compte uniquement les règles définies. En général, ça sera une histoire de port et/ou de destination si par exemple tu as interdit l'accès aux américains... Citation Y a t-il un équivalent pour le reverse proxy ? Un équivalent à quoi ? Au pare feu ? Bah c'est le pare feu qui gère ça pour le reverse proxy. Tu peux par contre personnaliser la page 403 et faire par exemple un renvoi automatique vers un site de bisounours. Rien te l'interdit 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 1 février 2019 Auteur Partager Posté(e) le 1 février 2019 Désolé Zeus je viens seulement de voir ta réponse .. merci pour tes précisions Question de néophyte, en quoi le fait de connaitre les domaines de mon domaine principal est gênant sachant que derrière j'ai un contrôle user/pws et le blocage IP activé ? Tu sembles dire qu'un certificat Wildcard est mieux mais comment l'obtient on sur DSM car je n'ai pas trouvé cette option à la création ? Dernière question sur le reverse proxy, est il possible de la mettre en place pour un acces mail en imap ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 février 2019 Partager Posté(e) le 1 février 2019 (modifié) Pour le certificat Wildcard, j'ai fait un petit tuto sur le forum. Une petite recherche t'aurait permit de le trouver. Le certificat Wildcard en gros ne montre pas tous les domaines mais simplement les deux principaux étant dans la zone DNS à savoir ndd.tld et *.ndd.tld (ce dernier prend en compte tous les autres domaines). Ça sert par exemple à éviter des attaques ciblées sur certains services même si il y a d'autres moyens de les trouver. J'ai par exemple mon gestionnaire de mot de passe en ligne et c'est parfait si le domaine n'appareit pas dans les détails du certificat. Oui tu peux avoir ton adresse mail et faire fonctionner le reverse proxy pour l'accès au webmail. Modifié le 1 février 2019 par Zeus 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Je viens de prendre un certificat wildcard en remplacement de mon certificat simple … merci Zeus pour ton tuto ! J'ai essayé de mettre mon accès mail en reverse proxy et je n'arrive pas à le faire fonctionner : Dans la box : - Routage 993 Box vers 993 Nas supprimé - Ajout routage 443 Box vers 443 du Nas Dans le NAS : - Ajout règle reverse proxy : https mail.ndd.tld 443 vers http localhost 143 - Ajout 143 dans firewall Dans Mail Server - Ajout accès IMAP et IMAPS dans Mails Server Dans le client mail : - Modification du nom du serveur entrant IMAP en mail.ndd.tld - Remplacement du port 993 par 443 Le problème est que mon client mail n'arrive pas à contacter le serveur mail (message "impossible de se connecter au serveur de messagerie pour contrôler les informations du compte. Aucune réponse du serveur") Si je remet le nom de serveur IMAP ndd.tld, le port 993 et que je réactive le routage 993 box vers 993 Nas tout refonctionne ... Ou est mon erreur ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Citation Ou est mon erreur ? Une mauvaise recherche ou aucune de faite 🙄 Voilà un tuto sur MailPlus Server qui devrait fonctionner aussi pour toi : 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Zeus je suis sur Mail Serveur car actuellement en DS212+ non compatible avec MailPlus Server mais la migration est à venir (en cours de préparation de mon DS718+) Mon serveur de messagerie fonctionne bien depuis plusieurs années c'est uniquement son passage derrière le reverse proxy qui me pose problème ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 J'ai récemment dépanné une membre du forum qui pour elle aussi tout fonctionnait bien et voulait elle aussi passer au proxy inversé. En me rendant sur son serveur et routeur, je me suis aperçu que tout était ouvert aux quatres vents et que question sécurité, rien n'avait été fait correctement ! Que ça fonctionne ne veut pas dire que tout est parfait... On peut très bien rouler avec une roue crevée sur autoroute, il faut juste voir les conséquences derrière... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Je ne pense pas être dans le même cas que la personne que tu as aidé. J'ai respecté le tuto de Fenrir securisation des acces au nas. Pour la messagerie seuls les ports 25, 587 et 993 sont routés de ma box vers le nas. J'ai les memes parametres que ceux que tu indiques dans ton tuto MailPlus Server a l'exception des verifications SPF, DKIM et DMARC car je n'ai pas d'IP fixe. Pour l'envoi des mails j'utilise le relay SMTP vers le serveur d'OVH. Est ce correct ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Oui tout parait correct sauf que tu n'as donc pas de serveur mail à proprement parlé puisque tu utilises celui d'OVH pour l'envoi et la réception. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Oui exact j'aurais bien voulu mais comme je n'ai pas d'IP fixe chez Orange (sauf à payer en passant sur une offre pro qui ne se justifie pas pour mes modestes besoins !) Je me contente d'avoir ma boite mail sur mon NAS et c'est déjà pas mal ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Ok. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 (modifié) Par contre j'ai un pb que je ne comprend pas. Avant mon enreg MX pointait directement sur mon nom de domaine, car je ne gerait pas de sous domaines. Donc dans mail server le nom d'hôte était ndd.tld . Comme j'ai pris un certif wildcard j'ai décidé de changer le nom du serveur en mail.ndd.tld. J'ai modifié le nom dans l'enreg MX d'ovh et dans mail server. Apres ces modifs et un delai d'attente pour la propagation DSN je peux bien envoyer des mails mais pas en recevoir. A force d'essais je recois enfin les mails apres avoir ajouter ndd.tld dans autres domaines de mail server ... mais je ne m'explique pas pourquoi ? Modifié le 2 février 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Pourquoi ces modifications ? Il fallait laisser comme c'était. C'était bien comme c'était 🙄 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 C'est parce que je voulais mettre en place le reverse proxy pour l'accès client, il me fallait donc différencier l'entrée pour pouvoir mettre une règle ! mais au final je n'arrive pas à connecter le serveur mail depuis le client (cf mon post de 10h49) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 (modifié) Absolument pas. Il te suffisait d'avoir une entrée A dans ta zone DNS destiné à mail et tu utilisais cette dernière pour accéder à ton webmail et pour la partie serveur mail. Bref, regarde mon tuto et reprend toi dessus. Tu ne devrais pas avoir de soucis logiquement. Modifié le 2 février 2019 par Zeus 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Dans la zone DSN (OVH) je ne peux pas mettre d'enreg A car il réclame une adresse IP et je suis en IP dynamique 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Ah oui c'est vrai. J'avais zappé cette information. Sauf que tu peux travailler avec le DDNS non ? Je n'ai jamais fait ce que tu veux faire car pour moi ça n'a pas vraiment de sens si on passe par un autre serveur que le sien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 (modifié) eus je vais abuser encore de tes connaissances car je suis bloqué et je ne comprend pas pourquoi. Voici un historique de mes actions de la journées pour mettre en place un reverse proxy pour mon serveur mail Depuis quelques années j'avais la situation suivante (mails opérationnels en entrée et sortie): OVH : Zone DNS ndd.xx 3600 MX 10 ndd.xx. *.ndd.xx 3600 CNAME ndd.xx. OVH : Dynhost .ndd.xx xx.xx.xx.xx (IP externe) Pour moi à ce niveau mail.ndd.xx renvoi sur ndd.xx qui renvoi sur IP externe BOX routage 25 TCP -> 25 TCP IP locale du NAS 587 TCP -> 587 TCP IP locale du NAS 993 TCP -> 993 TCP IP locale du NAS 443 TCP -> 443 TCP IP locale du NAS Mail Server nom d'hôte (FGDN) ndd.xx Autre domaine rien Relay SMTP via Orange (fonctionne aussi avec OVH) Les autres paramètres sont conformes à ton tuto Client mail Serveur entrant ndd.xx SSL 993 Serveur sortant ndd.xx TLS 587 authentification requise Avec ces configs les mails partent en arrivent sans problème -------------------------------------------------------------------------------------------------------------------------------------------- A partir de là j'ai voulu mettre en place le reverse proxy pour le serveur mail. Dans mon idée c'était d'avoir le client mail IMAP qui passe par le port 443 pour accéder au serveur, j'ai donc fait les modifs suivantes : Box Suppression du routage sur 993 Reverse Proxy Https mail.ndd.xx 443 -> http localhost 143 Client mail Serveur entrant mail.ndd.xx SSL 443 Serveur sortant pas de changement Impossible d'obtenir de mettre à jour les informations (pas de réponse du serveur) Pourquoi ça ne marche pas, est-ce une incompréhension de ma part sur le fonctionnement du reverse proxy ? -------------------------------------------------------------------------------------------------------------------------------------------- Apres je me suis dit qu'il fallait que j'ai le bon nom de serveur dès le début. j'ai essayé en modifiant directement le nom du serveur mail dans le DNS d'OVH Dans un premier temps j'ai retiré le reverse proxy OVH : Zone DNS ndd.xx 3600 MX 10 mail.ndd.xx. mail.ndd.xx 3600 CNAME ndd.xx. *.ndd.xx 3600 CNAME ndd.xx. OVH : Dynhost .ndd.xx xx.xx.xx.xx (IP externe) Pour moi à ce niveau mail.ndd.xx renvoi sur ndd.xx qui renvoi sur IP externe BOX routage 25 TCP -> 25 TCP IP locale du NAS 587 TCP -> 587 TCP IP locale du NAS 993 TCP -> 993 TCP IP locale du NAS 443 TCP -> 443 TCP IP locale du NAS Mail Server nom d'hôte (FGDN) mail.ndd.xx Autre domaine ndd.xx (sans cette info infos les mail partent bien mais je ne reçois rien ! pourquoi ? ) Après cela j'ai essayé de remettre le reverse proxy comme précédement mais cela n'a rien changé j'ai toujours la même erreur ... Il y a forcément quelque chose que j'ai mal compris sur le reverse proxy pour un serveur mail mais je n'arrive pas à comprendre quoi ... Modifié le 2 février 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Encore une fois, je n'utilisais pas la même chose que toi et j'avais mon propre serveur SMTP donc je ne saurais t'aider plus dans ta démarche. D'ailleurs, je comprends pas pourquoi tu utilises le port 443. Aujourd'hui, on a plutôt tendance à utiliser les ports 25, 587 et 993. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 (modifié) C'est simplement parce que j'ai basculé tous mes accès externes au NAS sur le reverse proxy donc avec un seul port ouvert 443 et qu'il ne restait que l'accès à la boite mail (993) a basculer. Si cela n'est pas possible je vais rester comme avant avec mon port 993 ouvert 😉 Une dernière question tout de même : pourquoi ai je besoin d'ajouter ndd.xx dans "autres domaines" de Mail Server pour pouvoir recevoir les mails alors que mon enregistrement MX est sur mail.ndd.xx et que j'ai bien mail.ndd.xx dans le nom d'hôte de Mail Server ? Modifié le 2 février 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 février 2019 Partager Posté(e) le 2 février 2019 Bah non, le port 443 te sert pour atteindre des services pas en faire fonctionner. 993, c'est le port du protocole IMAP donc tu dois continuer à l'utiliser. Si tu ouvres le 443, c'est pour atteindre ton webmail via mail.ndd.tld 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 février 2019 Auteur Partager Posté(e) le 2 février 2019 Ok je comprend mieux ... donc si je passe par le 443 c'est par exemple atteindre Mail Station (client). Effectivement comme j'utilise les clients mail de windows 10 et de Samsung je dois utiliser le 993. Dans ces conditions je peux revenir comme avant avec mon enreg MX sur ndd.xx Tout est maintenant un peu plus clair. Merci Zeus pour tes explications 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.