acces site DMZ depuis local

[atoboldon33]

Bonjour,

Grace a la lecture des nombreux posts de ce forum, j'ai pu installer et faire fonctionner sans problémes :
IP Fixe Free
IPCOP 1.4.14 Rouge Vert Orange
Une distro Debian sarge serveur WEB et FTP grace aux VirtualHost, herbergant plusieurs sites sur mon IP fixe
Mon réseau local (machines Windows) sur Green.

Afin de pouvoir tester en live mes sites web avant mise en ligne définitive chez un hébergeur, je souhaiterais y accéder depuis mon réseau local, mais en utilisant le DNS public (comme un acces externe), afin de vérifier les redirections, et le bon fonctionement des VHosts.
Hors il semble qu'IPCOP interdise ce genre de manip (sécurité).

Je peux bien sur y accéder en utilisant la résolution locale (par IP, ou par DNS local), mais l'accés externe (depuis l'internet global) depuis le propre reseau local IPCOP m'interresse. Y as t-il un moyen d'y arriver, sans demander a des contacts exterieurs de tester pour moi ??

Merci pour vos infos

[atoboldon33]

UNe précision supplémentaire :
Je sais que les régles d'antispoofing intégrées au noyau, interdisent cela, mais existe-il un moyen de désactiver momentanément ces régles (dans avoir a recompiler le kernel bien sur ???)

D'autre part, ayant une freebox en mode routeur, et sur laquelle le WIFI est activé, je pensais que l'acces depuis ce WIFI se comporterait comme un acces exterierieur a mon reseau IPCOP, et me permettrait de faire ce que je veux, hors cela ne marche pas non plus !!!! Pourtant cet acces en amont WIFI-FREEBOX (192.168.0.xxx), n'est en rien linké avec mon IPCOP (192.168.5.11).

Toutes informations seraient bienvenues ????

Merci
JPR

[Stirner]

Salut,

Concernant l'accés en local via le nom de domaine rendez-vous dans l'onglet "Services" puis "Hôtes Statiques".

@+

[atoboldon33]

Merci pour votre réponse Stirner, mais c'etait déja testé bien sur ...
relire mon premier post, il s'agit en fait d'accéder a des sites webs hébergés dans la DMZ, depuis des postes locaux sous reseau GREEN, mais en utilisant LES ADRESSES PUBLIQUES .
BIen sur pour des adresses privées cela fonctionne en renseignant les hotes virtuels, mais pour les publiques, l'AntiSpoofing fait son boulot, et le fait bien !!!

J'ai toutefois trouvé une solution :
Depuis le WIFI activé sur ma freebox, cela semble se comporter comme un acces externe a mon reseau local (classe d'adresse différente), mais je suis neanmoins obligé de passer par un proxy qui rends la connection anonyme afin d'accéder aux site présents en DMZ.

Bref : cela fonctionne
JPR

[Stirner]

Salut,


Tu veux dire que si dans hôte local tu renseigne :


Adresse IP de la machine : ip de ton serveur

Nom d'hôte : www

Nom de domaine : ledomaine.com (fr/net/asoo...)

Ca ne passe pas ?

Surpenant chez moi je ne rencontre aucun problèmes

@+

[rv91]

Bonjour,
Je me permet d'exhumer ce sujet car la solution annoncée par Stirner :
- correspond à mes attentes ;
- ne fonctionne pas chez moi

Voilà à quoi ressemble (en résumé) notre réseau domestique :

1- connection ADSL2+ free avec IP fixe et reverse DNS
2- modem freebox en mode routeur sans dhcp et wifi activé (DMZ= IP RED de IPcop)
3- Ipcop 1.4.18 aucun addon
proxi transparent sur GREEN + BLUE
hôtes statiques = 192.168.2.252 - www - dns (zone ORANGE)
transfert de ports = 80,443 etc ... sur 192.168.2.252

Donc pour accerder au serveur (SME7.3 server) par exemple le service egroupware :
depuis internet c'est https://dns/egroupware
depuis BLUE et GREEN c'est https://192.168.2.252/egroupware

Or j'ai besoin, notamment pour synchroniser mon HTC (donc depuis BLUE) avec egw (ORANGE), d'accéder à 192.168.2.252 par le DNS (nom du certificat ssl doit correspondre au nom du serveur renseigné).

Cette solution me semblait géniale, je ne comprends pas pourquoi ça ne marche pas.
et vous ?

[jdh]

Stirner fournit l'EXACTE solution. Il suffirait de la tester !


Je vais essayer d'être pédagogue !

Contexte :
- j'ai plusieurs noms de domaines (sur Internet).
- j'ai un serveur web (en Orange) avec la technique des "virtual hosts" permettant d'héberger plusieurs sites web.

Constat :
- de l'extérieur, tous les noms de domaines pointent sur l'adresse ip publique (unique).
- de l'intérieur, le serveur web est accessible par son adresse ip privée en Orange.

Question :
Comment tester en interne chaque site web ?

Réponse :
Il est CLAIR que chaque nom de domaine doivent pointer vers des adresses différentes SELON l'endroit où on est !
Sur Internet, on se réfère à un serveur dns qui donne l'adresse ip publique.
En interne, il faut résoudre avec l'adresse d'Orange.

Solution :
Le service dns d'IPCOP est dnsmasq. Il permet de définir des associations nom->ip pour les PC en Green (via "hotes statiques"). Il suffit de définir (localement) chaque nom dns publique avec la valeur locale.



On appelle cela faire du "split-dns". C'est assez facile à comprendre et à mettre en oeuvre. Et je dirais que c'est un mécanisme assez simple ...

(Evidemment cela ne fonctionne que pour http ! Au fait pourquoi ?)

[rv91]

Stirner fournit l'EXACTE solution. Il suffirait de la tester !
(Evidemment cela ne fonctionne que pour http ! Au fait pourquoi ?)

Mais c'est bien sûr !
httpS://www.dns => ça ne fonctionne pas // http://www.dns => je viens de tester : ça marche !
Comme j'ai une redirection obligatoie de http -> https de ce fait http://www.dns/egroupware me renvoi bien vers https://dns/egroupware => Résolu pour http et https.

En revanche le client de messagerie Outlook mobile ne se connecte certainement pas sur le port 80 lui donc cette partie là n'est pas jouée.

Merci
@+