(Résolu) Restreindre certaine adresse https depuis Extérieur

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

(Résolu) Restreindre certaine adresse https depuis Extérieur

Messagepar jackos » 26 Juil 2008 09:48

SME Server 7.3 en dmz derrière IPCOP

Bonjour,

Jusqu'à maintenant mes utilisateurs pouvait accéder à leur webmail depuis l'extérieur grâce à openvpn sur ipcop.
Mais cela devient de plus en plus compliqué car soit ils n'ont pas leurs machines configuré avec leur ipcop sous la main (genre en vacance dans un cybercafé,...) soit ils y accède a partir de leurs téléphone portable, smartphone (et la c'est pas forcément gagner pour installer un vpn dessus)

Je suis donc obligé d'ouvrir le webmail (en https) depuis l'extérieur, mais j'aimerais qu'il n'y ait que horde qui soit accessible et le reste seulement en local (genre le server-manager, phpMyAdmin et cie...)

Je pensais modifier le httpd.conf mais avec les templates je sais pas trop quels fichiers modifier (y'en a pas mal) , j'ai vu aussi le site de http://smeserver.fr/astuces.php?astuce=net_allowhosts permettant de limiter certains service depuis l'exterieur mais ca limite pas les adresses.

Voila, si vous avez des liens ou des conseils sur la façon de sécuriser certaines adresses https depuis l'extérieur, je vous remercie d'avance

Jack
Dernière édition par jackos le 29 Juil 2008 16:21, édité 1 fois au total.
jackos
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 10 Mai 2007 17:18

Messagepar Franck78 » 26 Juil 2008 10:04

Salut

si tu écris tout et son contraire, ca va pas être facile....

Tu veux limiter l'accès au SERVICE. Tu as manifestement trouvé une doc sur le SME.

Tu veux contrôler les IP sources( "mais ca limite pas les adresses") et c'est pas malin car tu finiras par autoriser toutes les IP des cybercafés... ;-)


Et si on lit bien, ton SME est derrère IPCop. Laisse donc IPCop acheminer un port que tu auras choisis (genre 9999) vers ton SME. C'est la base d'IPCop et du firewalling...:evil:


A lire:
http://christian.caleca.free.fr


Franck
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jackos » 26 Juil 2008 11:43

Salut Franck

Oui, c'est vrai que c'est un peu confus ce que je viens de dire, désolé :oops: (j'ai pas encore assez lu le site de christian)

En fait je veux que depuis un cybercafé par exemple, je puisse accéder à horde >> https://monadresse.com/horde/imp/login.php mais je ne veux pas que l'on puisse accéder à >> https://monadresse.com/server-manager ni >> https://monadresse.com/phpmyadmin/ (ou d'autres...)

je pensais modifier les fichier dans /etc/e-smith/templates/etc/httpd/conf/httpd.conf/ genre 85HordeAccess, 86PhpmyadminmultiAlias avec les "deny et allow from" mais c'est un peu la jungle pour moi :(
dis moi si je me trompe

Quand tu parle d'acheminer un port spécial (genre 9999) d'ipcop à smeserver, c'est pour que cela soit plus difficile pour les intrus de trouver ce qui se cache derrière??

Jack
jackos
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 10 Mai 2007 17:18

Messagepar adili » 26 Juil 2008 15:38

Bonjour,


Par défaut, le server-manager n'est pas accessible depuis l'extérieur du réseau local, donc le fait de valider l'accès au webmail ne changera rien.
Pour accéder au server-manager depuis internet il faut absolument valider un adresse ip dans l'accès à distance ou passer par un tunnel ssh (voir la faq sme).

AD
adili
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 11 Juil 2006 13:06

Messagepar jackos » 26 Juil 2008 16:11

Merci de vos réponses,

Je vais tester tous ca et je vous tiens au courant

Jack
jackos
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 10 Mai 2007 17:18

Messagepar jackos » 29 Juil 2008 16:20

Bonjour,

Effectivement, j'aurais du essayé avant de poser la question :? ](*,)

- Transfert de port de ipcop vers sme du port 9999 vers 443
>> accès depuis internet au webmail par https://monadresse.com:9999/webmail (mais pas le reste)

- Transfert de port de ipcop vers sme du port 443 vers 22 + connection ssh (ssh -L 443:localhost:443 root@monadresse.com)
>> accès depuis internet au server manager et php my admin par https://localhost/server-manager
Merci au site de grandpa http://smeserver.fr/faq_aef.php

Bonne journée à tous.
Jack
jackos
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 10 Mai 2007 17:18


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité