Rendre accesible un serveur Apache en passant par une Livebox

Rendre accesible un serveur Apache en passant par une Livebox - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 07-05-2007 à 20:54:08    

Bonjour.
 
Voilà j'ai un serveur Apache sur un PC qui en LAN via une Livebox avec un deuxième PC. Je souhaiterais pouvoir accéder à ce serveur Apache depuis un PC à l'extérieur du LAN.
Donc je me suis dit, je redirige toutes les communications arrivant à la Livebox sur un port précis sur le PC sur lequel est installé Apache et je demande à Apache d'écouter ce port mais ça ne fonctionne pas.
Pour être plus précis si je mets une adresse LAN suivie du port choisi ( 192.168.1.x:xxx ) je peux accéder au serveur mais si je mets l'adresse IP publique de ma Livebox suivie du port choisi ( xx.xxx.xxx.xxx:xxx ) alors ça ne fonctionne pas.
 
Avez-vous une idée d'où peut venir le problème ?
Savez-vous s'il est possible de faire ce que je souhaite faire ?
 
Nota : j'ai Apache 2.2.3 sur OpenSUSE Linux 10.2.
 
Merci d'avance.


Message édité par CNeo le 12-05-2007 à 09:29:44
Reply

Marsh Posté le 07-05-2007 à 20:54:08   

Reply

Marsh Posté le 07-05-2007 à 21:08:20    

Il faut juste faire une redirection de port : tout ce qui arrive sur le port 80 de ta box est renvoyé vers le port 80 de ton serveur.
 
Après, pour savoir comment faire ça, n'ayant pas de livebox, tu vas devoir faire du RTFM ou attendre que quelqu'un te donne plus de détails

Reply

Marsh Posté le 07-05-2007 à 21:16:55    

Sauf que la Livebox n'accepte pas de redirection sur le port 80. Je me demande si la Livebox renvoie bien la requête au PC serveur sur le bon port choisi.

Reply

Marsh Posté le 08-05-2007 à 10:19:22    

Y a-t-il un moyen de voir toutes requêtes HTTP qui sont transmises à mon PC ? De cette façon je pourrais voir si le problème vient de la Livebox ou de l'ordinateur.

Reply

Marsh Posté le 08-05-2007 à 10:25:53    

Test si ton port est bien ouvert :
 
http://www.zebulon.fr/outils/scanp [...] curite.php

Reply

Marsh Posté le 08-05-2007 à 10:39:28    

Pas bête mais il ne détecte rien d'ouvert alors que j'en ai plusieurs.

Reply

Marsh Posté le 08-05-2007 à 13:04:08    

Bon il faut que je sache si c'est la Livebox qui merde ou si c'est Apache. C'est quoi qui gère les requêtes HTTP et y a-t-il un log ?

Reply

Marsh Posté le 08-05-2007 à 15:48:58    

le log pour apache2 c est dans cd /var/log/apache2/,
 
tu peut farfouiner dans le /var/log/auth.log (en principe t aura rien mais on sait jamais)
 
sinon le syslog aussi...
 
Pour la live box tu peut essayer de virer le firewall (j me rapelle plus, mais je crois que tu peut choisir le niveau de protec genre faible,moyenne, élevé,)par contre je sais plus si on peut faire de la redirection de ports ...

Reply

Marsh Posté le 08-05-2007 à 16:10:25    

Que ce soit bien clair, le problème n'est pas de mettre en place le dispositif mais de le faire fonctionner.
Donc, oui la Livebox fait les redirections de ports et oui elle fonctionne puisque je peux créer des parties sur Warcraft et que je ne suis pas en low-id sur aMule.
J'ai redirigé le port 100 vers mon PC serveur et Apache écoute bien ce port car quand je tape 192.168.1.10:100 j'arrive bien sur Apache et ce, depuis le PC serveur lui-même mais aussi sur le deuxième PC du LAN.
Par contre si je rentre mon IP publique avec le port 100 ( 86.215.109.124:100 en ce moment ) ça ne fonctionne pas, Firefox me sort le fameux "La connexion a échoué".
Le problème peut venir d'Apache ou de la Livebox même si je penche plus pour la deuxième solution. C'est fou qu'avec le nombre de geeks qu'il y a ici il n'y en ai pas un pour me dire comment Linux gère les requêtes HTTP ...

Reply

Marsh Posté le 08-05-2007 à 16:25:56    

Citation :

Donc, oui la Livebox fait les redirections de ports et oui elle fonctionne puisque je peux créer des parties sur Warcraft et que je ne suis pas en low-id sur aMule.


t es sur que tu confonds pas ouvrir un port et rediriger un port genre t as ouvet le port pour aMule et pour jouer a warcraft mais tu n as pas rediriger le port de warcraft un autre port?
 
verifie ta redirection pour apache sur la livebox
 

Citation :

C'est fou qu'avec le nombre de geeks qu'il y a ici il n'y en ai pas un pour me dire comment Linux gère les requêtes HTTP


 
 :??:  
comment windows fait marcher ma carte graphique a y etre aussi?

Reply

Marsh Posté le 08-05-2007 à 16:25:56   

Reply

Marsh Posté le 08-05-2007 à 17:28:33    

krifur a écrit :

t es sur que tu confonds pas ouvrir un port et rediriger un port genre t as ouvet le port pour aMule et pour jouer a warcraft mais tu n as pas rediriger le port de warcraft un autre port?
 
verifie ta redirection pour apache sur la livebox

Sur la Livebox on ne redirige pas un port vers un autre port mais un port vers une machine ... Donc normalement si tu envoies une requête HTTP sur ma Livebox via le port 100, ma Livebox doit transmettre cette même requête vers le serveur sur le même port 100.

krifur a écrit :

:??:  
comment windows fait marcher ma carte graphique a y etre aussi?

J'ai pas compris.

Reply

Marsh Posté le 09-05-2007 à 15:36:20    

Personne n'a une petite idée pour m'aiguiller ?

Reply

Marsh Posté le 09-05-2007 à 15:50:21    

il faudrais deja disposer d'une adresse ip publique?


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 15:53:29    

Chez moi je me suis mis en DMZ et apres j'ai mis des regles iptables, c'est une bonne solution la DMZ ou bien?

Reply

Marsh Posté le 09-05-2007 à 15:55:46    

CNeo a écrit :

J'ai pas compris.


[:aloy]
Ce n'est pas "linux" qui gère tes requetes HTTP. HTTP => Applicatif, L'applicatif est géré par l'application (ie: apache ou firefox), TCP/UDP... par le kernel.

 

Pour tes tests, réalisent les DEPUIS internet (ou en utilisant un proxy web public si tu n'as pas moyen d'avoir un second access).

Message cité 1 fois
Message édité par l0ky le 09-05-2007 à 16:02:45
Reply

Marsh Posté le 09-05-2007 à 16:02:23    

baka-lulu a écrit :

Chez moi je me suis mis en DMZ et apres j'ai mis des regles iptables, c'est une bonne solution la DMZ ou bien?


oui qd tu veux te faire pirater ton serveur @home :love:  [:psywalk]


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 16:04:12    

A ce point la?!  
Moi qui croyais que mon iptables pouvais securiser le tout... :(

Reply

Marsh Posté le 09-05-2007 à 16:11:45    

baka-lulu a écrit :

A ce point la?!  
Moi qui croyais que mon iptables pouvais securiser le tout... :(


une DMZ n'a pas vocation de securiser un peu plus ton réseau, mais de faire tourner
les services internet accessibles de l'exterieur (web, ftp).
si cette machine est compromise, ce ne sera pas le cas de ton réseau interne.
disons que cela ressemble à une voie sans issue pour un éventuel hacker.
alors si tu utilises ton serveur DMZ pour des applications de partage de fichiers, toussa...
 
le cas d'une DMZ s'applique qd tu as plusieurs serveurs d'applications au sein
d'une entreprise.
hors je suppose que chez toi tous tes services sont accessibles sur ce même serveur. [:psywalk]  
 
si ton serveur web apache est compromis c'est l'ensemble des autres services de ta machine serveur
qui seront compromisent. [:psywalk]


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 16:13:30    

baka-lulu a écrit :

A ce point la?!
Moi qui croyais que mon iptables pouvais securiser le tout... :(


Faut démystifier le piratage et les firewall hein :heink:
Ce n'est pas parce que tu as un firewall que tu ne risques rien et ce n'est pas parce que tu n'as pas de firewall que n'importe quel guss peut te  pirater. Faut un peur etrearréter de prendre les gens pour des quiches et leur faire peur.

 

Le filtrage est une chose, une politique de sécurité bien pensée et appliquée en est une autre...

Message cité 1 fois
Message édité par l0ky le 09-05-2007 à 16:14:30
Reply

Marsh Posté le 09-05-2007 à 16:14:45    

Et bien merci de cet eclaircicement memaster62.
CNeo tu as compris... fait pas comme moi.

Reply

Marsh Posté le 09-05-2007 à 16:17:47    

Pourquoi pas, si le serveur web est dédié au web, ca peut etre une tres bonne solution. Si il y a la possiblité de segmenter un réseau entre un LAN composé uniquement de clients et une DMZ composé de serveurs. c'est UNE bonne solution !

 

Si tu forwardes le port 80 vers un PC situé dans un LAN unique, si le PC est compromis, le "pirate" aura un pied dans la place et pourra joindre (d'un point de vue réseau) n'importe quelle autre machine. Et donc potentiellement prendre le controle d'autre machine.

 

La DMZ est une bonne chose pour des serveurs dédiés à un service !!!

Message cité 1 fois
Message édité par l0ky le 09-05-2007 à 16:18:22
Reply

Marsh Posté le 09-05-2007 à 16:18:14    

l0ky a écrit :

Faut démystifier le piratage et les firewall hein :heink:
Ce n'est pas parce que tu as un firewall que tu ne risques rien et ce n'est pas parce que tu n'as pas de firewall que n'importe quel guss peut te  pirater. Faut un peur etrearréter de prendre les gens pour des quiches et leur faire peur.

 

Le filtrage est une chose, une politique de sécurité bien pensée et appliquée en est une autre...


moi je parlais juste de la DMZ : ce n'est pas la meilleure solution à appliquer chez soi pour un serveur
à tout faire :non:

 

edit : de plus, il faudra bien mettre un routeur entre le sous réseau privé LAN et la DMZ


Message édité par memaster le 09-05-2007 à 16:25:09

---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 16:20:21    

l0ky a écrit :

Pourquoi pas, si le serveur web est dédié au web, ca peut etre une tres bonne solution. Si il y a la possiblité de segmenter un réseau entre un LAN composé uniquement de clients et une DMZ composé de serveurs. c'est UNE bonne solution !

 

Si tu forwardes le port 80 vers un PC situé dans un LAN unique, si le PC est compromis, le "pirate" aura un pied dans la place et pourra joindre (d'un point de vue réseau) n'importe quelle autre machine. Et donc potentiellement prendre le controle d'autre machine.

 

La DMZ est une bonne chose pour des serveurs dédiés à un service !!!


nous sommes donc d'accord :jap:

 

mais bon genre : faut eviter de mettre à disposition sur une machine dans une DMZ ses données personnelles
(photos, divx, factures en pdf, gestions finacieres excels...)

Message cité 1 fois
Message édité par memaster le 09-05-2007 à 16:21:12

---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 16:26:26    

memaster a écrit :

nous sommes donc d'accord :jap:


Oui, je parlais "en général".

Reply

Marsh Posté le 09-05-2007 à 17:18:39    

l0ky a écrit :

[:aloy]
Ce n'est pas "linux" qui gère tes requetes HTTP. HTTP => Applicatif, L'applicatif est géré par l'application (ie: apache ou firefox), TCP/UDP... par le kernel.

Bah voilà c'est ce que je voulais savoir. Question bonus : y a-t-il un log qui répertorie les "transactions" ?

 

Sinon tout le reste "DMZ je sais pas quoi" j'ai rien compris mais je m'en fous.

Message cité 1 fois
Message édité par CNeo le 09-05-2007 à 17:19:21
Reply

Marsh Posté le 09-05-2007 à 17:21:13    

CNeo a écrit :

Bah voilà c'est ce que je voulais savoir. Question bonus : y a-t-il un log qui répertorie les "transactions" ?
 
Sinon tout le reste "DMZ je sais pas quoi" j'ai rien compris mais je m'en fous.


oui ;)  (access_log)


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 09-05-2007 à 19:41:33    

Je suppose que tu parles de celui d'apache mais si c'est apache qui merde alors il ne me sert à rien.

Reply

Marsh Posté le 09-05-2007 à 19:51:12    

Est ce que tu as essayé ce que je t'ai dit ?
ie: tester DEPUIS INTERNET ou via un proxy web public ?

Message cité 1 fois
Message édité par l0ky le 09-05-2007 à 19:54:09
Reply

Marsh Posté le 09-05-2007 à 19:59:35    

l0ky a écrit :

Est ce que tu as essayé ce que je t'ai dit ?
ie: tester DEPUIS INTERNET ou via un proxy web public ?

Oui j'ai donner à quelqu'un l'adresse avec le port et il m'a dit que le navigateur ne trouvait pas.

Reply

Marsh Posté le 09-05-2007 à 21:09:19    

http://www.grc.com/default.htm

 

scanne ton adress ip avec ce site (clique sur ShieldUp!) et dis nous quels sont les ports d ouverts ...

Message cité 1 fois
Message édité par krifur le 09-05-2007 à 21:10:08
Reply

Marsh Posté le 10-05-2007 à 19:23:26    

krifur a écrit :

http://www.grc.com/default.htm
 
scanne ton adress ip avec ce site (clique sur ShieldUp!) et dis nous quels sont les ports d ouverts ...


----------------------------------------------------------------------
 
GRC Port Authority Report created on UTC: 2007-05-10 at 17:23:07
 
Results from scan of ports: 0-1055
 
    0 Ports Open
    0 Ports Closed
 1056 Ports Stealth
---------------------
 1056 Ports Tested
 
ALL PORTS tested were found to be: STEALTH.
 
TruStealth: PASSED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - NO Ping reply (ICMP Echo) was received.
 
----------------------------------------------------------------------

Reply

Marsh Posté le 10-05-2007 à 22:09:18    

tu n'as donc ni le port 80 ni le port 100 d'ouvert donc serveur web est donc injoignable...Refait le test en allégeant les régles de sécurité sur ta livebox.

Reply

Marsh Posté le 11-05-2007 à 06:47:25    

D'accord j'essayerai ça ce soir et je vous tiendrai au courant.

Reply

Marsh Posté le 11-05-2007 à 20:50:10    

En gros tout ce que je peux faire c'est désactiver le par-feu mais ça ne change rien.

 

Édit : je sais que la livebox c'est du Linux dedans mais je sais pas s'il y a un moyen de ne pas passer par l'interface web.

 

Édit 2 : j'essayerai de chercher sur le site d'orange demain au cas où.


Message édité par CNeo le 11-05-2007 à 20:58:15
Reply

Marsh Posté le 11-05-2007 à 21:38:40    

y a un truc que je comprends pas, sur l'interface web il y a une page pour la translation de port/d'adresse qu'est ce qui ne va pas ?
Quand tu dis, que ca n'accepte pas le port 80, il se passe quoi exactement ?

Reply

Marsh Posté le 11-05-2007 à 21:53:19    

l0ky a écrit :

y a un truc que je comprends pas, sur l'interface web il y a une page pour la translation de port/d'adresse qu'est ce qui ne va pas ?
Quand tu dis, que ca n'accepte pas le port 80, il se passe quoi exactement ?

Rien le port 80 aboutit toujours à l'interface web quoique je fasse.
Je ne sais pas ce qui ne va pas, ce que je sais c'est que ça ne fonctionne pas.


Message édité par CNeo le 11-05-2007 à 21:53:40
Reply

Marsh Posté le 11-05-2007 à 22:10:10    

C'est parce que tu testes toujours de ton LAN.
Configures la redirection vers le port 80 de ton serveur web et redemande a ton pote de tester depuis l'exterieur ou par un proxy web sur Internet.

Reply

Marsh Posté le 11-05-2007 à 22:10:52    

Depuis ton LAN il  faut que tu utilises l'adresse de ton LAN. Depuis l'extérieur ca marchera.

Reply

Marsh Posté le 12-05-2007 à 08:45:00    

Je ne teste pas toujours de mon LAN, pour le port 100, avec ou sans le par-feu, ça ne fonctionne pas de l'extérieur.
Cependant je n'ai pas testé pour le port 80.

 

Édit : attendez je suis sur la voie.


Message édité par CNeo le 12-05-2007 à 09:19:53
Reply

Marsh Posté le 12-05-2007 à 09:26:57    

Ça y est ça fonctionne. T'avais raison l0ky ça fonctionne avec le port 80 depuis l'extérieur. Merci beaucoup à tous ceux qui m'ont aidé.
 
Si quelqu'un veut faire la même chose que moi un jour sur sa Livebox et bien en fait c'est tout con il suffit de rediriger le port 80.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed