accéder à un serveur web local derriere un firewall avec l'ip externe

accéder à un serveur web local derriere un firewall avec l'ip externe - Sécurité - Windows & Software

Marsh Posté le 06-08-2003 à 15:54:30    

j'ai un serveur web apache sur mon réseau local. ce réseau est connecté à internet à travers un firewall sous linux (j'utilise une distrib MNF de chez Mandrake) grace à un DNAT, j'arrive sans problème à accéder au serveur web depuis l'extérieur. je précise que mon installation n'a, pour l'instant, pas de DMZ.
 
J'ai un nom de domaine géré chez dotyou.com qui renvoie correctement vers mon serveur web et tout semble fonctionner à merveille.
 
Je rencontre un problème pour accéder au serveur web depuis l'intérieur du réseau local en utilisant comme adresse le nom de domaine, ou meme l'ip externe de mon réseau.
En gros, je voudrais pourvoir taper l'ip ( fixe ) externe de mon modem depuis le réseau locale afin de pouvoir accéder au serveur web, qui est en local. Cette requete semble etre interceptée par mon firewall. après moultes lectures, je n'ai toujours pas la solution. on m'a parlé de regles anti-spoofing qui pourraient bloquer ce mécanisme mais la MNF ne semble pas mettre en oeuvre anti-spoofing par défaut. mon problème reste donc entier.
 
Si vous avez des infos, des conseils, des liens, ça m'intéresse !
 
A+

Reply

Marsh Posté le 06-08-2003 à 15:54:30   

Reply

Marsh Posté le 06-08-2003 à 20:40:06    

A priori c impossible, fo interroger l'ip interne. C'est pour ça que le NAT c de la merde

Reply

Marsh Posté le 06-08-2003 à 21:09:08    

Et tu connais quoi de mieux que le NAT ?
 
Il y a une solution : te monter un serveur dns privé avec comme nom de zone celle de ton domaine dotyou.com.

Reply

Marsh Posté le 06-08-2003 à 21:19:05    

ou tu peux aussi modifier le fichier host de win en ajoutant une ligne pour faire pointer le dns vers l'ip local du serveur ... ( j'ai fait ca avec un .bat pour une 20ene de machine )
 
@


---------------
:Moultiplayers:.:Quatuor Chevalier:.:Admin G15-france.com:.:Wiki -G15-france:.:-Papa-:.
Reply

Marsh Posté le 06-08-2003 à 21:40:47    

Tu fais une règle de NAT sur la carte réseau interne de ton modem.
 
Le Nat de la Merde  :??:  Why ?

Reply

Marsh Posté le 06-08-2003 à 22:35:01    

loader a écrit :

Et tu connais quoi de mieux que le NAT ?
 
Il y a une solution : te monter un serveur dns privé avec comme nom de zone celle de ton domaine dotyou.com.


 
Un /29 par exemple :)
 
Sinon oui le mieux est soit le fichiers hosts soit un dns privé.
 
La règle nat elle a été faite puisque de l'extérieur ça marche.

Reply

Marsh Posté le 07-08-2003 à 09:45:57    

dans mes recherches sur le net (et notamment les newsgroups) et j'ai lu par exemple que je pouvais le faire en ajoutant une ligne dans mon fichier /etc/hosts sur le firewall. j'ai essayé mais ça ne semble pas fonctionner. peut etre qu'il faut aussi modifier d'autres fichiers ?
j'ai également lu que c'était faisable juste avec iptables, mais encore une fois je n'ai pas trouvé de précisions...
 
sinon, je peux envisager de monter un serveur dns , par exemple sur mon serveur windows 2000 qui sert de DHCP.

Reply

Marsh Posté le 07-08-2003 à 10:03:32    

Arf ! J'y pensais même plus au fichier hosts.
 
Il faut faire la manip sur toutes les machines de ton réseau interne.

Reply

Marsh Posté le 07-08-2003 à 10:05:44    

c'est à dire ?

Reply

Marsh Posté le 07-08-2003 à 10:10:53    

Et bien il faut modifier le fichier hosts de chaque machine : le contenu doit être le même sur chaque machine.

Reply

Marsh Posté le 07-08-2003 à 10:10:53   

Reply

Marsh Posté le 07-08-2003 à 10:55:35    

je viens d'essayer sur ma machine et ça a l'air de fonctionner.
 
le seul pb, c'est qu'il y a 2 sites en lignes sur le serveur web.
du coup, dans mon fichier hosts, j'aimerais pouvoir spécifier un truc du style  
10.0.0.123/bidule/truc.php              machin.domaine.com
 
c'est possible ça, ou il faut encore une autre bidouille ?
 
 
y'a vraiment pas moyen de faire ça juste sur le firewall, au niveau du hosts du firewall, par ex  ?

Reply

Marsh Posté le 07-08-2003 à 11:11:19    

Pitounet a écrit :

je viens d'essayer sur ma machine et ça a l'air de fonctionner.
 
le seul pb, c'est qu'il y a 2 sites en lignes sur le serveur web.
du coup, dans mon fichier hosts, j'aimerais pouvoir spécifier un truc du style  
10.0.0.123/bidule/truc.php              machin.domaine.com
 
c'est possible ça, ou il faut encore une autre bidouille ?
 
 
y'a vraiment pas moyen de faire ça juste sur le firewall, au niveau du hosts du firewall, par ex  ?


 
nop, ca ne marche pas de faire un host avec  10.0.0.123/bidule/truc.php ( il faut configurer ton serveur web ... )
 
et pour la config dans le firewall, ca m'etonerais ... tout depend vers ou parte les requette DNS de tes clients ...

Reply

Marsh Posté le 07-08-2003 à 11:15:53    

ben comme je 'nai pas de dns en local, j'utilise les dns de wanadoo
 
 
je vais peut etre essayer de mettre en plca le dns de ma machine windows 2000 server.

Reply

Marsh Posté le 07-08-2003 à 11:40:06    

Pitounet a écrit :

ben comme je 'nai pas de dns en local, j'utilise les dns de wanadoo
 
 
je vais peut etre essayer de mettre en plca le dns de ma machine windows 2000 server.  


 
ca serais pas mal ... mais je peux pas t'en dire plus puisque je n'ai pas de DNS en local ...
 
@+

Reply

Marsh Posté le 07-08-2003 à 12:30:47    

Pitounet a écrit :

je viens d'essayer sur ma machine et ça a l'air de fonctionner.
 
le seul pb, c'est qu'il y a 2 sites en lignes sur le serveur web.
du coup, dans mon fichier hosts, j'aimerais pouvoir spécifier un truc du style  
10.0.0.123/bidule/truc.php              machin.domaine.com
 
c'est possible ça, ou il faut encore une autre bidouille ?
 
 
y'a vraiment pas moyen de faire ça juste sur le firewall, au niveau du hosts du firewall, par ex  ?


 
Ben tu met :
10.0.0.123    machin.domaine.com
10.0.0.123    machin.domaine2.com
...

Reply

Marsh Posté le 07-08-2003 à 15:13:33    

Si tu utilises Apache, tu peux configurer des hôtes virtuel.
En fonction de l'adresse utilisé pour te connecter il affiche le site correspondant.

Reply

Marsh Posté le 07-08-2003 à 15:29:47    

je pense que je vais m'orienter vers cette solution, que j'était d'ailleurs en train de mettre en place.
 
merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed