Firewall NAT - Reverse Proxy - OWA 2003

Firewall NAT - Reverse Proxy - OWA 2003 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 01-08-2013 à 18:02:34    

Bonjour,
 
Je suis confronté à un problème.  
Je souhaite publier Outlook Web Access 2003 sur internet en utilisant un reverse proxy apache en DMZ.
Je NAT mon reverse proxy en DMZ sur un port de mes IP publiques. Pour l'exemple, disons 8080
Le reverse proxy écoute sur un port en DMZ. Pour l'exemple, disons 443
OWA écoute en 443 uniquement.
 
Ce qui donne : IP_Publique:8080--> Firewall --> RPROXY:443 --> Firewall --> OWA:443
 
J'ai pas de soucis à mettre en place tout ça.. Le problème étant que OWA fait des redirections en utilisant son port (443).
Donc une URL me revient avec le port 443, sauf que : sur IP_Publique:443 j'ai déjà un autre serveur avec un autre rôle que je ne peux pas reversproxyser.
 
Exemple : GET https://IP_Publique:8080/exchange/ me redirige vers https://IP_Publique/exchweb/  
Sauf que là c'est du 443 !! Du coup la requête est dirigé vers un autre serveur.
 
Ma question étant : y'a-t-il moyen d'attaquer OWA depuis un port A côté publique alors que OWA écoute sur un port B ?
 
C'est compréhensible ce que je dis ?
 
Merci d'avance,
 
Antho


Message édité par tsvag le 02-08-2013 à 09:18:45
Reply

Marsh Posté le 01-08-2013 à 18:02:34   

Reply

Marsh Posté le 01-08-2013 à 18:22:59    

perso je le tenterai pas :o

Reply

Marsh Posté le 02-08-2013 à 09:11:21    

Je@nb a écrit :

perso je le tenterai pas :o


Pourquoi pas ?

Reply

Marsh Posté le 05-08-2013 à 16:22:37    

Personne ?

Reply

Marsh Posté le 07-08-2013 à 10:30:16    

OWA est conçu pour être publié sur le port 443 (port 80 possible dans Exchange 2003 mais moins en moins réalisable au fur et à mesure des nouvelles versions d'Exchange). Il est possible de le faire mais tu vas au devant de bcp de soucis potentiels.
 
Dans ton cas, il faut que le serveur répond à ton reverse proxy et pas directement à ton client et que ton reverse proxy soit capable de modifier la réponse à la volée (en rajoutant ton port spécifique). Il faudrait donc que ton reverse proxy fasse du NATentre lui et ton serveur OWA 2003(ce qui me semble etre un début de solution mais pas la solution complète)
 
Sinon des produit comme Forefront TMG (plus dispo) ou Forefront UAG sont capables sur une même IP sur un même Port de publier plusieurs sites en analysant le path ou le nom de domaine. Par exemple si webmail.toto.titi et extranet.toto.titi  sont résolus avec la même adresse IP, Forefront TMG peut splitter le flux vers 2 serveurs interne différent.


---------------
Topic Achat-Vente Feed Back
Reply

Marsh Posté le 07-08-2013 à 13:20:45    

Merci pour la réponse.
 

Citation :

il faut que le serveur répond à ton reverse proxy et pas directement à ton client  


C'est le reverse qui interroge OWA, donc OWA répond au reverse, donc c'est déjà le cas.
 

Citation :

que ton reverse proxy soit capable de modifier la réponse à la volée


C'est le cas également car je rewrite un sous répertoire "IP_Publique:8080/Exchange/ " vers "OWA:443/Exchange/" et vice versa.
 

Citation :

Sinon des produit comme Forefront TMG (plus dispo) ou Forefront UAG sont capables sur une même IP sur un même Port de publier plusieurs sites en analysant le path ou le nom de domaine. Par exemple si webmail.toto.titi et extranet.toto.titi  sont résolus avec la même adresse IP, Forefront TMG peut splitter le flux vers 2 serveurs interne différent.


C'est exactement ce que je fais avec apache en reverse proxy.
 
Le problème est qu'il doit y avoir des redirections en dur dans OWA qui après un clique link vers "Https://OWA/Exchweb/" c'est bien réécrit puisque les client est redirigé vers "Https://IP_Publique/Exchweb/".. J'aurais pu rewriter tout ce qui arrive de 443 vers 8080 mais le problème étant que le 443 est redirigé vers un autre serveur que le reverse proxy.
 
Bon c'est pas grave, je vais contourner le problème en utilisant une autre IP publique qui dispose bien du 443 dispo.
 
Mais j'ai une petite idée qui pourrait fonctionner.. Je vous tiendrais au courant si ça vous intéresse.
 
Merci quand même;
 
A+
 
 
 
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed