blocage ip et reverse proxy

[dadoupipo]

Bonjour

J'utilise le reverse proxy pour accéder à mes synos, et ce avec un nom de domaine et sous domaine.
Tout fonctionne parfaitement.

J'ai mis en place la sécurité de blocage ip. J'ai fais un test de l’extérieur pour voir si le blocage fonctionne.

Que n'est pas ma surprise ! c'est l'adresse ip du syno abritant le reverse proxy qui est bloquée !!!
Et comme tout passe par lui, je n’accède plus au syno pointé par le reverse proxy et ce quelque soit l'adresse ip extérieure !!! vu que c'est sa propre adresse qui est bloquée.

 

Donc il suffit qu'un petit malin essaye d’accéder à un de mes sous domaines, le syno bloque l'adresse ip de mon reverse proxy et zou ! plus personne ne peux y accéder !

C'est pas banal comme situation, et bien sur moi-même de l’extérieur, je ne peux pas débloquer la situation !!!!

 

Merci de vos idées sur ce problème.

 

[oracle7]

@dadoupipo

Bonjour,

il y a 35 minutes, dadoupipo a dit :

J'ai mis en place la sécurité de blocage ip.

Tu peux préciser ce que tu as fait exactement. Action dans le pare-feu ou définition d'un profil de contrôle d'accès dans le reverse proxy ou autre chose encore ?

Possible que tu ais un blocage trop large sur une plage d'@IP qui contient en fait ton @IP externe sur la quelle pointe ton domaine, d'où tes déboires ...

Cordialement

oracle7😉

[PiwiLAbruti]

Il y a 3 heures, dadoupipo a dit :

c'est l'adresse ip du syno abritant le reverse proxy qui est bloquée !!!

Il faut utiliser localhost comme hôte local dans la configuration du reverse proxy, et définir une liste blanche dans le blocage automatique des IP.

[dadoupipo]

bonjour

Merci pour vos réponses.

Pour répondre à Oracle7, j'ai mis le blocage auto dans le pare feu du syno que pointe le reverse proxy, Pas de profil de contrôle d'accès.

Je ne peux pas utiliser localhost dans le reverse proxy, car je fais appel à d'autres synology physiques, d'où une adresse ip.

Comment résoudre ce problème, utiliser le profil de contrôle d'accès ?

 

merci à vous

[PiwiLAbruti]

Au risque de me répéter :

Le 14/10/2022 à 14:06, PiwiLAbruti a dit :

définir une liste blanche dans le blocage automatique des IP.

 

[oracle7]

@dadoupipo

Bonjour,

Le 14/10/2022 à 10:49, dadoupipo a dit :

c'est l'adresse ip du syno abritant le reverse proxy qui est bloquée !!!

D'une part et tout bêtement, as-tu au moins vérifié que cette @IP n'est pas dans la liste des @IP bloquées (Sécurité / Protection / Autoriser/bloquer la liste / Liste des blocages) ? Si oui, supprimes la tout simplement de la dite liste.

D'autre part, ensuite je t'invite à suivre le conseil avisé de @PiwiLAbruti :

• pour l'usage de "localhost" dans l'@ de destination de ta règle de revers proxy,
• et pour mettre l'@IP de ton NAS qui supporte le reverse proxy dans la liste des @IP autorisées (Sécuurité / Protection / Autoriser/bloquer la liste / Liste des permissions).

C'est pas plus compliqué et on ne peut plus clair, non ?

Saches aussi que mettre "localhost" c'est exactement la même chose que de mettre l'@IP du NAS reverse proxy ou que de mettre 127.0.0.1. "localhost" n'est qu'un alias de ces @IP repectives et ce quelque soit le fait que tu fasses appel à d'autres Synology "physiques" dans tes règles de reverse proxy.

Sinon tu peux STP préciser ton assertion plus que confuse :

Il y a 2 heures, dadoupipo a dit :

j'ai mis le blocage auto dans le pare feu du syno que pointe le reverse proxy

???

Accessoirement : Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

Modifié le 17 octobre 2022 par oracle7

[dadoupipo]

Merci de vos réponses

@oracle7@PiwiLAbruti

Il y a 2 heures, PiwiLAbruti a dit :

définir une liste blanche dans le blocage automatique des IP.

J'ai essayé de mettre donc l'ip du syno qui fait le reverse proxy dans le syno applicatif, plus de blocage effectivement, mais cela ne sert plus à rien, si l'ip externe à l'origine de l'attaque, n'est plus du tout bloquée !!!
J'ai fait l'essai.

 

il y a 28 minutes, oracle7 a dit :

Saches aussi que mettre "localhost" c'est exactement la même chose que de mettre l'@IP du NAS reverse proxy ou que de mettre 127.0.0.1. "localhost" n'est qu'un alias de ces @IP repectives et ce quelque soit le fait que tu fasses appel à d'autres Synology "physiques" dans tes règles de reverse proxy.

le revere proxy est sur un syno et l'application est sur un autre syno physique, donc je ne peux pas utiliser le localhost dans le reverse proxy qui fait référence à lui-même !!! et non pas le syno à atteindre

 

Bien à vous et merci de votre aide

 

Modifié le 17 octobre 2022 par dadoupipo

[PiwiLAbruti]

il y a 25 minutes, dadoupipo a dit :

J'ai essayé de mettre donc l'ip du syno qui fait le reverse proxy dans le syno applicatif, plus de blocage effectivement, mais cela ne sert plus à rien, si l'ip externe à l'origine de l'attaque, n'est plus du tout bloquée !!!

Synology ne propose pas de solution pour ce cas d'usage, et c'est bien dommage.

Mais ce n'est pas forcément un problème si le pare-feu est correctement configuré (secondé par un profil d'accès si nécessité de restreindre encore plus certains services). Quelle est la surface d'exposition du proxy inversé sur internet ?

[dadoupipo]

@PiwiLAbruti

 

Je vais revenir au blocage d'ip, que je débloquerai au fur et à mesure.
Ce n'est qu'un partage de fichiers pour quelques amis. Ce n'est pas bien grave si c'est indisponible quelque temps.

Encore merci à tous

[PiwiLAbruti]

Du moment que tu as conscience que ton NAS est trop exposé sur internet et des risques encourus, c'est le principal.

[oracle7]

@dadoupipo

Bonjour,

Sauf erreur de ma part ( @PiwiLAbruti me corrigera au besoin), quand on utilise un reverse proxy on accède normalement à celui-ci depuis l'extérieur via une URL de la forme https://service.ndd.tld (sous entendu en standard via le port 443 mais cela peut-être un autre port !) sachant que ndd.tl pointe sur @IPexterne du NAS RP.

Donc il faut déjà connaitre l'existance de ce domaine pour atteindre le NAS RP (c'est ce domaine que tu communiques normalement à tes amis, non ?),  et une URL du type https://@IPexterne:443 ne rentrera pas dans le reverse proxy et ne sera pas traitée par le frontend de celui-ci. Justement c'est le frontend du RP qui en fonction du service indiqué dans l'URL de connexion externe, va solliciter le backend du RP qui lui va aiguiller le flux entrant vers le bon service indiqué dans la règle de RP :

• Si le service est local au NAS qui supporte le RP alors l'@IP de destination (dans la règle du RP) est du type http://localhost:portduService ou http://@IPNASsupportRP:portduService.
• Si le service est sur une autre machine du réseau local ou une machine distante alors l'@IP de destination (dans la règle du RP) est du type http://@IPmachineLocale:portduService ou http://@IPmachineDistante:portduService.

Au final, si tu as correctement configuré le pare-feu de ton NAS applicatif pour accepter l'@IP du NAS RP et/ou mis en liste blanche l'@IP du NAS RP, il n'y a pas de raisons que ton NAS applicatif bloque l'@IP du NAS RP.

Cordialement

oracle7😉

[dadoupipo]

@oracle7

Tu as parfaitement résumé la fonctionnalité. Bravo !

Mon nas est peu exposé, il faut https://service.ndd.tld comme tu l'indiques pour y accéder, et uniquement le port 443 et 80 (pour lets'encrypt ouvert sur ma box) et ce qu'il y a, a peu d'importance, quelques fichiers en partage avec des amis.

je suis rassuré, merci à tous.