Acces serveur depuis le Lan

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Acces serveur depuis le Lan

Messagepar LeRiton » 08 Déc 2004 23:06

Bonjour à tous

Je rencontre un probleme avec mon réseau local.

J'ai un serveur apache derriere une Freebox en mode routeur, redirections de ports dans le NAT ok.

Internet==Freebox==LAN

Les utilisateurs de net ont accès a mon site sans aucun probleme. Le soucis: sur mon réseau local, je ne peut acceder a mon serveur qu'en local. Si je tappe mon IP publique dans mon navigateur, délai de connexion dépassé avec "monIP".
Si je ne me trompe pas, je devrai pouvoir passer par le net pour venir "chez moi" (comprendre sur mon espace http).
Si je tente d'acceder a mon site par IP LAN/monsite, les pages s'affichent, mais les requetes SQL redirigées vers mon IP publique donnent égallement un délai de connexion dépassé.

je reprécise qu'il n'y a aucun probleme lors de l'acces via l'exterieur.

Merci d'avance
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar ths » 08 Déc 2004 23:34

je crois que c'est un probleme du au fait, que tu ne peut faire de boucle avec j'sais plus quoi (nan nan, c'est super precis en fait :p).
car,
IP1, envoi une demande sur IP1 ... c'est d'un coté normale que ca ne fonctionne pas
mais pourtant
IP2 demande sur IP2 ca marche ...

avec IP1 : Ip publique
IP2 : Ip lan

j'avais eu se pb aussi, j'avais fait avec ^^
Avatar de l’utilisateur
ths
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 185
Inscrit le: 30 Nov 2003 01:00
Localisation: Lyon*

Messagepar LeRiton » 08 Déc 2004 23:40

Pourtant, je ne pense pas avoir une configuration si atypique que ca...

Je pense à la même chose que toi, je me suis dis que le NAT n'avais pas appris ma requette du coté WAN, des tas de trucs, mais la, je sèche.

J'espere qu'il y a tout de même une solution. En tout cas, merci pour ta réponse rapide.
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar interupteur » 09 Déc 2004 00:58

Bonsoir,

tu ne peux pas faire de résolution de nom avec une ip public sur un réseau interne (lan) car comment veux tu que ton pc puisse résoudre cette ip ===> il ne sait pas ou elle se trouve et à qui demander, donc il envoie cette requette en interne : ca cherche, ca cherche.... et la paf, t'envoie une erreur !!! sinon il te faudrais un serveur DNS qui puisse te rediriger la requette vers l'extérieur et là effectivement, il resoudra...


a+

Inter-Rupteur
Degroup 5 Mo
|
|=> 510 V4 Alcatel
|
|==> Netasq F50 IDS
|
|===> RT 314 Netgear (firmware zyxel)
|
|===> P 1 : XP 2400 / 512 mo / 80 go
|===> P 2 : Barton 2600 / 1024 Mo / 160 Go raid 1
|======> Win2000 et Win2003 srv / XP pro sp2
Avatar de l’utilisateur
interupteur
Major
Major
 
Messages: 76
Inscrit le: 04 Oct 2003 00:00
Localisation: Ile-De-France

Messagepar LeRiton » 09 Déc 2004 14:04

J'ai monté un serveur Bind aves une redirections sur les serveurs DNS de mon FAI, mais le problème persiste.
J'ai bien évidemment configuré mes cartes réseaux avec comme DNS l'adresse de mon serveur.

Peut être ai-je raté quelquechose?

Toujours délai d'attente dépassé lors de la connexion à mon_ip_wan
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar interupteur » 09 Déc 2004 20:54

Bonsoir,

configure tes cartes avec les dns de ton FAI et non ceux de ton serveur et normalement cela devrait marcher !

A+

Inter-rupteur
Degroup 5 Mo
|
|=> 510 V4 Alcatel
|
|==> Netasq F50 IDS
|
|===> RT 314 Netgear (firmware zyxel)
|
|===> P 1 : XP 2400 / 512 mo / 80 go
|===> P 2 : Barton 2600 / 1024 Mo / 160 Go raid 1
|======> Win2000 et Win2003 srv / XP pro sp2
Avatar de l’utilisateur
interupteur
Major
Major
 
Messages: 76
Inscrit le: 04 Oct 2003 00:00
Localisation: Ile-De-France

Messagepar LeRiton » 09 Déc 2004 21:01

J'ai mis les DNS de mes FAI et ca ne change rien, mon ip wan ne répond toujours pas a partir du lan.

Mais j'avoue ne pas comprendre l'interet du serveur DNS si les cartes gardent les DNS du FAI...

Si tu peux m'éclairer...
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar svart » 09 Déc 2004 21:29

Salut,

Peut-être que quelque chose m'échappe mais il me semble que c'est normal.

1° si tu tapes ton IP publique dans ton navigateur, les DNS n'ont rien à voir là-dedans, puisque ça sert à résoudre les noms de domaine, pas les IP (qui n'ont pas besoin d'être résolues).

2° Si tu fais du NAT (SNAT en l'occurence) tu rediriges les requetes entrantes IP publique vers une IP locale. La carte de ton serveur hhtp n'a qu'une IP locale, ou alors tu as deux cartes, une avec l'IP publique, l'autre avec l'IP locale.

3° Quand tu fais du NAT tes requêtes sortantes se font avec ton IP publique pour pouvoir revenir (sinon elle ne serait pas routables)

Donc si tu tapes ton IP publique, ta requete sort de ton réseau, une fois translatée elle porte en retour ton IP publique, il est illogique qu'elle revienne sur elle-même et contacte ton reseau, soit transférée sur une IP locale, et ressorte, pour revenir. En gros, elle se dirige sur elle-même, donc ça bloque. Il te faudrait peut-ête deux IP publiques : une pour le NAT sortant, et une pour les requetes http entrantes.

4° si ton serveur http héberge également une base SQL, tu devrais la contacter par la boucle localhost, pas par une IP publique ? Sinon coté sécurité il me semble que c'est dangereux.

Ou alors j'ai rien compris. C'est aussi une éventualité :)
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar LeRiton » 09 Déc 2004 21:45

C'est tout a fait ce que je me disai svart, la seule chose, c'est que je n'ai pas de réponse a mon probleme.

Je re-shématise pour que tu soit sur de comprendre!!!

Internet
|
|
Freebox
|
|
Serveur Apache/Mysql ===poste winXP

Comme tu l'a compris, j'éberge égallement une base SQL. La seule chose, c'est que même mes requettes http échouent en local (qu'elle proviennent du serveur ou de l'autre poste...).

Donc oui, je pense que tu as tout à fait cerné le probleme, maissi tu m'a donné une réponse, je ne l'ai pas comprise! Pour ce qui est des 2 IP publiques, je ne voit pas trop comment faire, je ne suis pas certain que free veuille dédoubler ma ligne :oops:

En tout cas, merci à vous tous de vous pencher sur mon probleme.
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar svart » 10 Déc 2004 00:20

Il n'y a pas, je crois, de solution, car ce n'est pas un bug, mais le fonctionnement normal du système tel que tu le décris.

A ma connaissance, en tout cas. Quelqu'un pourrait peut-être te donner une astuce. Tu pourrais, sans garantie, essayer d'accéder à ton serveur en te loggant sur un proxy sur le net :?: De cette façon tes requêtes iraient au proxy, qui en généreraient de nouvelles pour contacter ton serveur, et le retour se ferait par la même voie. Mais même si ça marche ça me parait peu praticable.

Je pencherais plutôt pour agir sur la configuration de ton serveur http. Pour le gérer, tu dois le faire depuis le réseau local, sur l'adresse IP locale. Ce que tu fais déjà, mais tu as une erreur sur les requetes MySql. Je ne connais pas très bien la configuration d'un système http/MySql, mais pour ce que j'en sais, tu utilises certainement php pour dialoguer avec le serveur MySql. Ce que je ne comprends pas, c'est pourquoi tu as besoin de l'IP Publique pour cela. En théorie, je crois que cela devrait fonctionner ainsi :

Serveur http <-- requetes http
|
(localhost)
|
serveur MySql

Peu importe si les requetes sur le serveur proviennent d'Internet ou du réseau local (donc de l'IP publique ou privée) car les requetes sql se font sur la même machine, et php se connecte à la base Sql sur 127.0.0.1 - et c'est le serveur http qui retourne le résultat au navigateur.

Je crois que c'est ainsi que les serveurs web fonctionnent la plupart du temps. je ne sais pas comment tu as reglé tes différents services, ou si tu as des contraintes particulières de ce point de vue.

J'espère que cela pourra t'aider ou provoquer une réponse de quelqu'un qui saura résoudre ton problème !

A+
S
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar LeRiton » 12 Déc 2004 19:46

En fait, le probleme ne semble pas venir du serveur MySQL puisque je n'arrive pas à l'index apache à partir de mon local.
A prioris, si il n'y a pas de solutions, je vais laisser tel quel, le principal étant que le tout fonctionne de l'exterieur.

En tout cas, merci à tous pour vous être penchés sur mon problème.


Je laisse pour le moment le topic tel quel, je le mettrai en résolu dans une semaine si personnne ne m'a proposé une astuce pour contourner tout ca.

LeRiton
On rigole, on rigole... Mais on voit pas le fond du bol!
Avatar de l’utilisateur
LeRiton
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Juin 2003 00:00
Localisation: Noisy (93)

Messagepar svart » 12 Déc 2004 20:57

Salut,

Ne faut-il pas dire à apache quelque part qu'il faut écouter sur l'IP locale ? Quelque chose genre listen x.x.x.x (où x.x.x.x est ton IP locale ?
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron