bloquer l'accès à ndd.tld mais pas à sd.ndd.tld, possible ?

[Capitaine ad hoc]

Salut,

Depuis l'autre jours j'ai continué de faire évoluer mon installation. J'ai configuré mon vpn depuis mon routeur cisco en prenant bien soins d'ajouter le certificat ssl dans le routeur et dans les terminaux desquels j'utiliserais l'accès vpn. Tout fonctionne bien je suis content lol.

Ce qui m'amène aujourd'hui est un petit renseignement savez-vous si l'on peut bloquer l'accès à ndd.tld mais pas au sous domaine (sd.ndd.tld)  ? j'ai un sous domaine par service mais aucune utilité d'avoir sur le wan l'accès à ndd.tld . du coup en tapant l'url depuis un accès wan on tombe sur ma page bleu webstation has been enable. Je ne souhaite pas personnaliser la page car pas d'utilité pour moi vraiment. Merci de vos infos.

Sinon j'avais une autre question d'ordre générale sur les bonnes pratiques, ou puis-je la poser ? dans la section nos membres racontent ? dites moi tout ... lol

Merci à vous.

[.Shad.]

Je vois deux moyens de jouer sur des paramètres permettant d'arriver à ce que tu veux : d'une part avec le paquet DNS Server avec les vues (voir le tuto DNS Server de Fenrir à ce sujet si tu ne l'as pas déjà mis en place).
Et avec le proxy inversé en utilisant les profils de contrôle d'accès (appelés communément ACL pour Access Control List) :

Ensuite dans la définition de ton entrée de proxy inversé pour tu peux ajouter l'ACL que tu souhaites :

Et pour ta dernière question : je t'avoue qu'il deviendrait intéressant de repenser l'organisation des catégories du forum 😛

Modifié le 30 décembre 2019 par shadowking

[Capitaine ad hoc]

Salut,

Punaise j'ai pas suffisamment fouillé!!! 

Tu connais DSM par coeur ? ? ?

Merci en tout cas.  Du coup je vais poser ma dernière question ici lol... Je voulais savoir si pour la bonne pratique on ne devais pas fermer le port 80 ?

[.Shad.]

Et bien si tu renouvelles tes certificats LE par IP, tu es obligé d'exposer le port 80 de ton NAS. Ce que tu peux faire c'est faire effectivement une redirection de port de ton routeur/box vers ton NAS, et dans le pare-feu du NAS, n'ouvrir le port 80 qu'aux IP de Let's Encrypt. Je ne les ai pas sous la main car j'utilise HAProxy mais tu devrais les trouver facilement en fouillant le forum.

Modifié le 30 décembre 2019 par shadowking

[Capitaine ad hoc]

Ok merci, 

Oui j'ai déjà récupéré les IP sur le tuto DNS il me semble. Pour le coup je vais faire ça, je vais me sentir plus rassuré. Merci à toi.

Au passage tu as mis quoi comme ssd pour le cache sur ton nas ?

Après test pour le coup, on perd la redirection automatique http vers https en fermant le port 80 mais ce n'est pas plus mal ! une fois que les membres de la famille on enregistré l'adresse en favoris il n'y a pas besoin de redirection automatique sur ça.

Modifié le 30 décembre 2019 par maestro72
ajout.