Question de redirection ... - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 21-06-2007 à 08:26:24
Citation : Faut-il que je configure apache pour être en écoute sur monautresite.fr et qu'il redirige sur monautresite.fr:26000 ? |
oui, c'est ce que l'on appelle du reverse proxy
Citation : Existe t-il une autre solution ? |
A priori non, je ne vois pas ...
Puisque tu n'as qu'une seule @Ip publique, pour faire ta séparation, tu te bases sur le nom de domaine, donc tu es déjà au niveau couche 7 du modèle OSI. Donc seul Apache pourra faire la différence, au niveau de ton parfeu, tu ne pourrais au pire remonter qu'en couche 3 ou 4 pour voir les IPs et les ports
Marsh Posté le 21-06-2007 à 14:15:35
Il faut donc que je pose un autre VirtualHost avec un RedirectMatch ^/$ http://monautresite.fr:26000.
Cette configuration est-elle juste ?
Est-ce que cela pose pas un problème de sécurité dans la mesure contrairement à ce que j'ai précisé sur le premier post, monautresite.fr:26000 est sur la DMZ et monsite.fr est sur la patte LAN ?
Marsh Posté le 21-06-2007 à 19:33:58
tu as deux soluce pour faire cela dans apache :
* effectivement, un redirectmatch. Mais dans ce cas, ton apache va se contenter de répondre au client un code de retour 302, c'est à dire "tu es gentil, mais ce n'est pas là que tu veux aller, demande plutôt à telle adresse". Et tu vas donc avoir dans la foulée une 2ème requête de la même provenance mais vers monautresite.fr:26000
* soit en utilisant le mode proxy d'apache
Dans ce cas, ton apache va faire bien plus, il va jouer le rôle de reverser proxy. C'est à dire que c'est lui (apache) qui va se connecter à monautresite.fr:26000 et demander la page. Une fois qu'il aura eu la réponse, il la renverra au client. Pour le client, ce sera ton apache qui sert le site monautresite.fr:26000, il ne vera jamais le vrai service derrière qui écoute le port 26000
Maintenant question sécurité :
* ton site monsite.fr c'est lui qui devrait être en DMZ (par définition DMZ = accessible de l'extérieur et de l'intérieur, par contre rien ne rentre vers l'intérieur depuis la DMZ )
Dans tous les cas, je te conseille donc vivement si c'est possible de basculer ton site monsite.fr dans ta DMZ
* en utilisant la version avec le module proxy d'apache, tu pourrais mettre ton serveur sur le port 26000 sur ton LAN, car le reverse proxy permet de protéger un peu les choses. C'est ton apache qui se prend les attaques en frontal et en plus, tu es sur qu'il n'y aura que lui qui se connectera à ton serveur port 26000
Marsh Posté le 21-06-2007 à 22:50:57
Les explications sont très claires et complètes.
Merci beaucoup fighting_f alcon. L'approche est très pédagogue.
J'ai donc basculé monsite.fr sur la DMZ. Ce que je souhaite sécuriser absolument c'est monautresite.fr:26000.
Si je suis ton raisonnement concernant le reverse proxy, pour qu'apache puisse se connecter sur la socket d'écoute sur le port 26000, il faut que je configure le pare-feu pour qu'il autorise un transfert de port depuis la DMZ vers le LAN monautresite.fr (monautresite => 80 vers monautresite.fr => 26000)
Ma question est alors la suivante : si le serveur hébergeant monsite.fr sur la DMZ se fait hacker (1), est-ce que je n'ouvre pas une porte (trou de sécurité) vers le serveur monautresite.fr sur le port 26000 ?
(1) le site monsite.fr est plus sujet à des failles de sécurité
Encore merci
Marsh Posté le 22-06-2007 à 08:21:43
Tu as tout compris pour le reverse proxy, c'est bien cela
Pour ta question sécurité, si bien sur que ca ouvre une faille ... maintenant la protection 0 n'existe pas, tout ce qui parle de sécurité le dit ainsi : si vous voulez être protégé à 100%, une seule solution, débranchez vous ...
Maintenant pour hacker ton serveur en interne, il faut déjà que le hacker sache qu'il faut partir du port 80 en DMZ pour appeler le port 26000 en interne. Je sais c'est dans la conf d'apache, mais le hacker n'arrive sur ton serveur en DMZ que via le port 80, donc il aurait déjà à faire pour casser ton apache et pouvoir lui faire faire beaucoup de choses ...
Si tu as vraiment des trucs qui craignent sur ton LAN et que tu n'aimes pas cette idée de porte ouverte DMZ -> LAN ( ce qui est tout à faire compréhensible, je ne dis pas le contraire !!! ), déplace (si tu le peux) ton service écoutant le port 26000 dans ta DMZ
Marsh Posté le 20-06-2007 à 19:33:34
Bonsoir,
J'ai une petite question peut-être relative à Apache2
- 2 machines derrière un pare-feu (patte ADSL, patte DMZ et patte réseau local)
- la première machine derrière le réseau local dispose d'un serveur Apache en écoute sur le port 80 concernant le chemin monsite.fr
- la deuxième machine sur la DMZ dispose d'une application en socket d'écoute sur le port 26000
- mon DNS est géré de la façon suivante : l'IP publique (disons 83.192.150.150) pointe sur le nom domaine monsite.fr et sur monautresite.fr
Lorsque je fait pointer mon navigateur sur monautresite.fr:26000, je me connecte correctement à l'application.
Lorsque je fait pointer mon navigateur sur monautresite.fr, je suis redirigé sur monsite.fr ce qui est normal. Or j'aimerai qu'une connexion sur monautresite.fr me redirige sur monautresite.fr:26000.
Faut-il que je configure apache pour être en écoute sur monautresite.fr et qu'il redirige sur monautresite.fr:26000 ?
Existe t-il une autre solution ?
Merci
Message édité par sneakz le 20-06-2007 à 19:34:57