Rendre accesible un serveur Apache en passant par une Livebox - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-05-2007 à 21:08:20
Il faut juste faire une redirection de port : tout ce qui arrive sur le port 80 de ta box est renvoyé vers le port 80 de ton serveur.
Après, pour savoir comment faire ça, n'ayant pas de livebox, tu vas devoir faire du RTFM ou attendre que quelqu'un te donne plus de détails
Marsh Posté le 07-05-2007 à 21:16:55
Sauf que la Livebox n'accepte pas de redirection sur le port 80. Je me demande si la Livebox renvoie bien la requête au PC serveur sur le bon port choisi.
Marsh Posté le 08-05-2007 à 10:19:22
Y a-t-il un moyen de voir toutes requêtes HTTP qui sont transmises à mon PC ? De cette façon je pourrais voir si le problème vient de la Livebox ou de l'ordinateur.
Marsh Posté le 08-05-2007 à 10:25:53
Test si ton port est bien ouvert :
http://www.zebulon.fr/outils/scanp [...] curite.php
Marsh Posté le 08-05-2007 à 10:39:28
Pas bête mais il ne détecte rien d'ouvert alors que j'en ai plusieurs.
Marsh Posté le 08-05-2007 à 13:04:08
Bon il faut que je sache si c'est la Livebox qui merde ou si c'est Apache. C'est quoi qui gère les requêtes HTTP et y a-t-il un log ?
Marsh Posté le 08-05-2007 à 15:48:58
le log pour apache2 c est dans cd /var/log/apache2/,
tu peut farfouiner dans le /var/log/auth.log (en principe t aura rien mais on sait jamais)
sinon le syslog aussi...
Pour la live box tu peut essayer de virer le firewall (j me rapelle plus, mais je crois que tu peut choisir le niveau de protec genre faible,moyenne, élevé,)par contre je sais plus si on peut faire de la redirection de ports ...
Marsh Posté le 08-05-2007 à 16:10:25
Que ce soit bien clair, le problème n'est pas de mettre en place le dispositif mais de le faire fonctionner.
Donc, oui la Livebox fait les redirections de ports et oui elle fonctionne puisque je peux créer des parties sur Warcraft et que je ne suis pas en low-id sur aMule.
J'ai redirigé le port 100 vers mon PC serveur et Apache écoute bien ce port car quand je tape 192.168.1.10:100 j'arrive bien sur Apache et ce, depuis le PC serveur lui-même mais aussi sur le deuxième PC du LAN.
Par contre si je rentre mon IP publique avec le port 100 ( 86.215.109.124:100 en ce moment ) ça ne fonctionne pas, Firefox me sort le fameux "La connexion a échoué".
Le problème peut venir d'Apache ou de la Livebox même si je penche plus pour la deuxième solution. C'est fou qu'avec le nombre de geeks qu'il y a ici il n'y en ai pas un pour me dire comment Linux gère les requêtes HTTP ...
Marsh Posté le 08-05-2007 à 16:25:56
Citation : Donc, oui la Livebox fait les redirections de ports et oui elle fonctionne puisque je peux créer des parties sur Warcraft et que je ne suis pas en low-id sur aMule. |
t es sur que tu confonds pas ouvrir un port et rediriger un port genre t as ouvet le port pour aMule et pour jouer a warcraft mais tu n as pas rediriger le port de warcraft un autre port?
verifie ta redirection pour apache sur la livebox
Citation : C'est fou qu'avec le nombre de geeks qu'il y a ici il n'y en ai pas un pour me dire comment Linux gère les requêtes HTTP |
comment windows fait marcher ma carte graphique a y etre aussi?
Marsh Posté le 08-05-2007 à 17:28:33
krifur a écrit : t es sur que tu confonds pas ouvrir un port et rediriger un port genre t as ouvet le port pour aMule et pour jouer a warcraft mais tu n as pas rediriger le port de warcraft un autre port? |
Sur la Livebox on ne redirige pas un port vers un autre port mais un port vers une machine ... Donc normalement si tu envoies une requête HTTP sur ma Livebox via le port 100, ma Livebox doit transmettre cette même requête vers le serveur sur le même port 100.
krifur a écrit : |
J'ai pas compris.
Marsh Posté le 09-05-2007 à 15:50:21
il faudrais deja disposer d'une adresse ip publique?
Marsh Posté le 09-05-2007 à 15:53:29
Chez moi je me suis mis en DMZ et apres j'ai mis des regles iptables, c'est une bonne solution la DMZ ou bien?
Marsh Posté le 09-05-2007 à 15:55:46
CNeo a écrit : J'ai pas compris. |
Ce n'est pas "linux" qui gère tes requetes HTTP. HTTP => Applicatif, L'applicatif est géré par l'application (ie: apache ou firefox), TCP/UDP... par le kernel.
Pour tes tests, réalisent les DEPUIS internet (ou en utilisant un proxy web public si tu n'as pas moyen d'avoir un second access).
Marsh Posté le 09-05-2007 à 16:02:23
baka-lulu a écrit : Chez moi je me suis mis en DMZ et apres j'ai mis des regles iptables, c'est une bonne solution la DMZ ou bien? |
oui qd tu veux te faire pirater ton serveur @home
Marsh Posté le 09-05-2007 à 16:04:12
ReplyMarsh Posté le 09-05-2007 à 16:11:45
baka-lulu a écrit : A ce point la?! |
une DMZ n'a pas vocation de securiser un peu plus ton réseau, mais de faire tourner
les services internet accessibles de l'exterieur (web, ftp).
si cette machine est compromise, ce ne sera pas le cas de ton réseau interne.
disons que cela ressemble à une voie sans issue pour un éventuel hacker.
alors si tu utilises ton serveur DMZ pour des applications de partage de fichiers, toussa...
le cas d'une DMZ s'applique qd tu as plusieurs serveurs d'applications au sein
d'une entreprise.
hors je suppose que chez toi tous tes services sont accessibles sur ce même serveur.
si ton serveur web apache est compromis c'est l'ensemble des autres services de ta machine serveur
qui seront compromisent.
Marsh Posté le 09-05-2007 à 16:13:30
baka-lulu a écrit : A ce point la?! |
Faut démystifier le piratage et les firewall hein
Ce n'est pas parce que tu as un firewall que tu ne risques rien et ce n'est pas parce que tu n'as pas de firewall que n'importe quel guss peut te pirater. Faut un peur etrearréter de prendre les gens pour des quiches et leur faire peur.
Le filtrage est une chose, une politique de sécurité bien pensée et appliquée en est une autre...
Marsh Posté le 09-05-2007 à 16:14:45
Et bien merci de cet eclaircicement memaster62.
CNeo tu as compris... fait pas comme moi.
Marsh Posté le 09-05-2007 à 16:17:47
Pourquoi pas, si le serveur web est dédié au web, ca peut etre une tres bonne solution. Si il y a la possiblité de segmenter un réseau entre un LAN composé uniquement de clients et une DMZ composé de serveurs. c'est UNE bonne solution !
Si tu forwardes le port 80 vers un PC situé dans un LAN unique, si le PC est compromis, le "pirate" aura un pied dans la place et pourra joindre (d'un point de vue réseau) n'importe quelle autre machine. Et donc potentiellement prendre le controle d'autre machine.
La DMZ est une bonne chose pour des serveurs dédiés à un service !!!
Marsh Posté le 09-05-2007 à 16:18:14
l0ky a écrit : Faut démystifier le piratage et les firewall hein Le filtrage est une chose, une politique de sécurité bien pensée et appliquée en est une autre... |
moi je parlais juste de la DMZ : ce n'est pas la meilleure solution à appliquer chez soi pour un serveur
à tout faire
edit : de plus, il faudra bien mettre un routeur entre le sous réseau privé LAN et la DMZ
Marsh Posté le 09-05-2007 à 16:20:21
l0ky a écrit : Pourquoi pas, si le serveur web est dédié au web, ca peut etre une tres bonne solution. Si il y a la possiblité de segmenter un réseau entre un LAN composé uniquement de clients et une DMZ composé de serveurs. c'est UNE bonne solution ! Si tu forwardes le port 80 vers un PC situé dans un LAN unique, si le PC est compromis, le "pirate" aura un pied dans la place et pourra joindre (d'un point de vue réseau) n'importe quelle autre machine. Et donc potentiellement prendre le controle d'autre machine. La DMZ est une bonne chose pour des serveurs dédiés à un service !!! |
nous sommes donc d'accord
mais bon genre : faut eviter de mettre à disposition sur une machine dans une DMZ ses données personnelles
(photos, divx, factures en pdf, gestions finacieres excels...)
Marsh Posté le 09-05-2007 à 16:26:26
ReplyMarsh Posté le 09-05-2007 à 17:18:39
l0ky a écrit :
|
Bah voilà c'est ce que je voulais savoir. Question bonus : y a-t-il un log qui répertorie les "transactions" ?
Sinon tout le reste "DMZ je sais pas quoi" j'ai rien compris mais je m'en fous.
Marsh Posté le 09-05-2007 à 17:21:13
CNeo a écrit : Bah voilà c'est ce que je voulais savoir. Question bonus : y a-t-il un log qui répertorie les "transactions" ? |
oui (access_log)
Marsh Posté le 09-05-2007 à 19:41:33
Je suppose que tu parles de celui d'apache mais si c'est apache qui merde alors il ne me sert à rien.
Marsh Posté le 09-05-2007 à 19:51:12
Est ce que tu as essayé ce que je t'ai dit ?
ie: tester DEPUIS INTERNET ou via un proxy web public ?
Marsh Posté le 09-05-2007 à 19:59:35
l0ky a écrit : Est ce que tu as essayé ce que je t'ai dit ? |
Oui j'ai donner à quelqu'un l'adresse avec le port et il m'a dit que le navigateur ne trouvait pas.
Marsh Posté le 09-05-2007 à 21:09:19
http://www.grc.com/default.htm
scanne ton adress ip avec ce site (clique sur ShieldUp!) et dis nous quels sont les ports d ouverts ...
Marsh Posté le 10-05-2007 à 19:23:26
krifur a écrit : http://www.grc.com/default.htm |
----------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2007-05-10 at 17:23:07
Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested
ALL PORTS tested were found to be: STEALTH.
TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
----------------------------------------------------------------------
Marsh Posté le 10-05-2007 à 22:09:18
tu n'as donc ni le port 80 ni le port 100 d'ouvert donc serveur web est donc injoignable...Refait le test en allégeant les régles de sécurité sur ta livebox.
Marsh Posté le 11-05-2007 à 06:47:25
D'accord j'essayerai ça ce soir et je vous tiendrai au courant.
Marsh Posté le 11-05-2007 à 20:50:10
En gros tout ce que je peux faire c'est désactiver le par-feu mais ça ne change rien.
Édit : je sais que la livebox c'est du Linux dedans mais je sais pas s'il y a un moyen de ne pas passer par l'interface web.
Édit 2 : j'essayerai de chercher sur le site d'orange demain au cas où.
Marsh Posté le 11-05-2007 à 21:38:40
y a un truc que je comprends pas, sur l'interface web il y a une page pour la translation de port/d'adresse qu'est ce qui ne va pas ?
Quand tu dis, que ca n'accepte pas le port 80, il se passe quoi exactement ?
Marsh Posté le 11-05-2007 à 21:53:19
l0ky a écrit : y a un truc que je comprends pas, sur l'interface web il y a une page pour la translation de port/d'adresse qu'est ce qui ne va pas ? |
Rien le port 80 aboutit toujours à l'interface web quoique je fasse.
Je ne sais pas ce qui ne va pas, ce que je sais c'est que ça ne fonctionne pas.
Marsh Posté le 11-05-2007 à 22:10:10
C'est parce que tu testes toujours de ton LAN.
Configures la redirection vers le port 80 de ton serveur web et redemande a ton pote de tester depuis l'exterieur ou par un proxy web sur Internet.
Marsh Posté le 11-05-2007 à 22:10:52
Depuis ton LAN il faut que tu utilises l'adresse de ton LAN. Depuis l'extérieur ca marchera.
Marsh Posté le 12-05-2007 à 08:45:00
Je ne teste pas toujours de mon LAN, pour le port 100, avec ou sans le par-feu, ça ne fonctionne pas de l'extérieur.
Cependant je n'ai pas testé pour le port 80.
Édit : attendez je suis sur la voie.
Marsh Posté le 12-05-2007 à 09:26:57
Ça y est ça fonctionne. T'avais raison l0ky ça fonctionne avec le port 80 depuis l'extérieur. Merci beaucoup à tous ceux qui m'ont aidé.
Si quelqu'un veut faire la même chose que moi un jour sur sa Livebox et bien en fait c'est tout con il suffit de rediriger le port 80.
Marsh Posté le 07-05-2007 à 20:54:08
Bonjour.
Voilà j'ai un serveur Apache sur un PC qui en LAN via une Livebox avec un deuxième PC. Je souhaiterais pouvoir accéder à ce serveur Apache depuis un PC à l'extérieur du LAN.
Donc je me suis dit, je redirige toutes les communications arrivant à la Livebox sur un port précis sur le PC sur lequel est installé Apache et je demande à Apache d'écouter ce port mais ça ne fonctionne pas.
Pour être plus précis si je mets une adresse LAN suivie du port choisi ( 192.168.1.x:xxx ) je peux accéder au serveur mais si je mets l'adresse IP publique de ma Livebox suivie du port choisi ( xx.xxx.xxx.xxx:xxx ) alors ça ne fonctionne pas.
Avez-vous une idée d'où peut venir le problème ?
Savez-vous s'il est possible de faire ce que je souhaite faire ?
Nota : j'ai Apache 2.2.3 sur OpenSUSE Linux 10.2.
Merci d'avance.
Message édité par CNeo le 12-05-2007 à 09:29:44