[Résolu]Bloquer Dolibarr port 80/443 sans bloquer Serveur Web

[tab1664]

Bonjour,

Je vous expose mon problème,

J'ai conçu un site internet vitrine que j'ai intégré à mon NAS.

J'ai ouvert les ports classiques de web serveur (80/443) et tout fonctionne très bien.

 

Cependant mon NAS utilise également Dolibarr (CRM d'entreprise), hors j'aimerais l'utiliser/le voir apparaitre seulement en Ip Local (ou avec un VPN).

Le paquet est installé dans le dossier Web du NAS, comme le site internet en somme.

Comment pourrais-je procéder pour laisser le site internet accessible sans avoir la visibilité sur mon CRM qui fonctionne aussi avec les utilisateurs HTTP.

Je voudrais empêcher la connexion du type : www.exemple.com/dolibarr/ depuis internet.

 

Je vous souhaite une belle journée,

 

Bien cordialement,

Romain

 

[.Shad.]

Je te propose une solution, mais pas un premier choix, c'est de passer par un proxy inversé avec un profil de contrôle d'accès.
Mais je pense que d'autres trouveront un moyen de te permettre de choisir sur quelle interface est exposée Dolibarr (peut-être via les hôtes virtuels de Webstation ?).

[tab1664]

il y a 18 minutes, .Shad. a dit :

Je te propose une solution, mais pas un premier choix, c'est de passer par un proxy inversé avec un profil de contrôle d'accès.
Mais je pense que d'autres trouveront un moyen de te permettre de choisir sur quelle interface est exposée Dolibarr (peut-être via les hôtes virtuels de Webstation ?).

J'apprends le réseau avec d'ancienne connaissance et sur le tas.

Ta solution proposé peut être intéressante, j'ai regardé un peu en quoi cela consistait.

J'ai pas l'impression que ca bloque l'accès, cela demande encore une autre authentification, non ?

 

[.Shad.]

Passer par un proxy inversé permet d'avoir un seul point d'entrée, et suivant le domaine demandé (disons https://domaine1.exemple.fr) ça va te rediriger vers Dolibarr, alors que https://domaine2.exemple.fr te redirigera vers un autre site.

Ca donne l'énorme avantage de pouvoir tout atteindre depuis un seul et même port, 443 par exemple par commodité. DSM intègre un proxy inversé, et il y a la fonction profil de contrôle d'accès (ACL en anglais - Access Control List) qui permet de dire si suivant l'origine, tu autorises ou pas d'accéder à cette ressource. Il suffit d'autoriser les IP privées (192.168.x.x, 10.x.x.x, etc...) et de refuser le reste, ainsi toutes les IP publiques n'y auront pas accès.

Le réseau de ton serveur VPN étant également dans une plage privée, ça ne posera aucun souci.

Mais je n'y connais rien à Webstation, qui permet peut-être de faire ce que tu veux, j'attire l'attention de @DaffY qui s'y connaît beaucoup plus à ce sujet.

Modifié le 3 mars 2021 par .Shad.

[DaffY]

Bonjour,

ne pas être passé par la case présentation ne permet pas de savoir par exemple le type de NAS concerné. Car on peut imaginer avec un NAS avec deux prises réseaux faire un routage spécifique.

Sinon le plus simple que je puisse imaginer est tout simplement de mettre le site CRM sur un autre port que le 80 8080 1024  ou 443...

[tab1664]

Bonjour, excusez moi de la réponse tardive (cyclone), concernant le modèle de mon NAS, il s'agit d'un DS218 Play avec une seule prise réseau.

Ta solution me parait évidente, comment procéder pour basculer le port par défaut du CRM par un port différent ?

 

Merci du soutient 😉

[tab1664]

Le 03/03/2021 à 23:28, DaffY a dit :

Bonjour,

ne pas être passé par la case présentation ne permet pas de savoir par exemple le type de NAS concerné. Car on peut imaginer avec un NAS avec deux prises réseaux faire un routage spécifique.

Sinon le plus simple que je puisse imaginer est tout simplement de mettre le site CRM sur un autre port que le 80 8080 1024  ou 443...

Merci beaucoup pour l'idée !

En effet cela fonctionne très bien avec la fonction Virtual Host de la Web Station du DSM :

 

Ensuite il faut redistribuer les ports sur le routeur (80 et 443) sur les port attribué pour la Web Station et le tour est joué !!!

A bientôt

 

 

[DaffY]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.