(Résolu) Restreindre certaine adresse https depuis Extérieur

par **jackos** » 26 Juil 2008 09:48

SME Server 7.3 en dmz derrière IPCOP

Bonjour,

Jusqu'à maintenant mes utilisateurs pouvait accéder à leur webmail depuis l'extérieur grâce à openvpn sur ipcop.
Mais cela devient de plus en plus compliqué car soit ils n'ont pas leurs machines configuré avec leur ipcop sous la main (genre en vacance dans un cybercafé,...) soit ils y accède a partir de leurs téléphone portable, smartphone (et la c'est pas forcément gagner pour installer un vpn dessus)

Je suis donc obligé d'ouvrir le webmail (en https) depuis l'extérieur, mais j'aimerais qu'il n'y ait que horde qui soit accessible et le reste seulement en local (genre le server-manager, phpMyAdmin et cie...)

Je pensais modifier le httpd.conf mais avec les templates je sais pas trop quels fichiers modifier (y'en a pas mal) , j'ai vu aussi le site de http://smeserver.fr/astuces.php?astuce=net_allowhosts permettant de limiter certains service depuis l'exterieur mais ca limite pas les adresses.

Voila, si vous avez des liens ou des conseils sur la façon de sécuriser certaines adresses https depuis l'extérieur, je vous remercie d'avance

Jack

par **Franck78** » 26 Juil 2008 10:04

Salut

si tu écris tout et son contraire, ca va pas être facile....

Tu veux limiter l'accès au SERVICE. Tu as manifestement trouvé une doc sur le SME.

Tu veux contrôler les IP sources( "mais ca limite pas les adresses") et c'est pas malin car tu finiras par autoriser toutes les IP des cybercafés... ;-)

Et si on lit bien, ton SME est derrère IPCop. Laisse donc IPCop acheminer un port que tu auras choisis (genre 9999) vers ton SME. C'est la base d'IPCop et du firewalling... :evil:

A lire:
http://christian.caleca.free.fr

Franck

par **jackos** » 26 Juil 2008 11:43

Salut Franck

Oui, c'est vrai que c'est un peu confus ce que je viens de dire, désolé :oops:

(j'ai pas encore assez lu le site de christian)

En fait je veux que depuis un cybercafé par exemple, je puisse accéder à horde >> https://monadresse.com/horde/imp/login.php mais je ne veux pas que l'on puisse accéder à >> https://monadresse.com/server-manager ni >> https://monadresse.com/phpmyadmin/ (ou d'autres...)

je pensais modifier les fichier dans /etc/e-smith/templates/etc/httpd/conf/httpd.conf/ genre 85HordeAccess, 86PhpmyadminmultiAlias avec les "deny et allow from" mais c'est un peu la jungle pour moi

dis moi si je me trompe

Quand tu parle d'acheminer un port spécial (genre 9999) d'ipcop à smeserver, c'est pour que cela soit plus difficile pour les intrus de trouver ce qui se cache derrière??

Jack

par **adili** » 26 Juil 2008 15:38

Bonjour,

Par défaut, le server-manager n'est pas accessible depuis l'extérieur du réseau local, donc le fait de valider l'accès au webmail ne changera rien.
Pour accéder au server-manager depuis internet il faut absolument valider un adresse ip dans l'accès à distance ou passer par un tunnel ssh (voir la faq sme).

AD

par **jackos** » 26 Juil 2008 16:11

Merci de vos réponses,

Je vais tester tous ca et je vous tiens au courant

Jack

par **jackos** » 29 Juil 2008 16:20

Bonjour,

Effectivement, j'aurais du essayé avant de poser la question

- Transfert de port de ipcop vers sme du port 9999 vers 443
>> accès depuis internet au webmail par https://monadresse.com:9999/webmail (mais pas le reste)

- Transfert de port de ipcop vers sme du port 443 vers 22 + connection ssh (ssh -L 443:localhost:443 root@monadresse.com)
>> accès depuis internet au server manager et php my admin par https://localhost/server-manager
Merci au site de grandpa http://smeserver.fr/faq_aef.php

Bonne journée à tous.
Jack

(Résolu) Restreindre certaine adresse https depuis Extérieur

(Résolu) Restreindre certaine adresse https depuis Extérieur

Qui est en ligne ?