Redirection de port

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar rberutto » 15 Déc 2003 21:58

Bonjour, <BR> <BR><!-- BBCode Start --><B>Voici mon problème :</B><!-- BBCode End --> <BR>- Je suis, sur mon lieu de travail, derrière un proxy qui filtre tous les ports et ne laisse passer que le 80 <BR>- J'ai monté un serveur RedHat chez moi et je souhaite accéder à des applications qui sont ouvertes sur d'autres ports (ex: Webmin). <BR> <BR><!-- BBCode Start --><B>Voici ma question :</B><!-- BBCode End --> <BR>Est-il possible de configurer mon système pour résoudre mon pb, sachant que j'ai déjà essayé de paramétrer mon serveur HTTP pour effectuer de la redirection de port, dont je joint un extrait du httpd.conf <BR> <BR>RewriteEngine on <BR>ProxyRequests on <BR>RewriteRule /webmin <!-- BBCode auto-link start --><a href="http://MonIP:MonPort/$1" target="_blank">http://MonIP:MonPort/$1</a><!-- BBCode auto-link end --> [P,L] <BR>RewriteRule /(submit.*) <!-- BBCode auto-link start --><a href="http://MonIP:MonPort/$1" target="_blank">http://MonIP:MonPort/$1</a><!-- BBCode auto-link end --> [P,L] <BR>RewriteRule /(files.*) <!-- BBCode auto-link start --><a href="http://MonIP:MonPort/$1" target="_blank">http://MonIP:MonPort/$1</a><!-- BBCode auto-link end --> [P,L] <BR>RewriteRule /(session_login.*) <!-- BBCode auto-link start --><a href="http://MonIP:MonPort/$1" target="_blank">http://MonIP:MonPort/$1</a><!-- BBCode auto-link end --> [P,L] <BR>ProxyPassReverse /(.*) <!-- BBCode auto-link start --><a href="http://MonIP:MonPort/$1" target="_blank">http://MonIP:MonPort/$1</a><!-- BBCode auto-link end --> <BR> <BR><!-- BBCode Start --><B>Le résultat du test est le suivant :</B><!-- BBCode End --> <BR>- Pour Webmin, j'arrive à me logger, mais ensuite, j'obtiens le msg suivant <BR>- Pour les autres applications, j'ai tout de suite le même msg <BR> <BR><!-- BBCode Start --><B>Message : </B><!-- BBCode End --> <BR>Gateway incorrecte! <BR>Le serveur proxy a reçu une réponse incorrecte de la part d'un serveur supérieur. <BR>Si vous pensez qu'il s'agit d'une erreur du serveur, veuillez contacter le gestionnaire du site <BR>Error 502 <BR>MonIP <BR>lun 15 déc 2003 20:54:47 CET <BR>Apache/2.0.40 (Red Hat Linux) <BR> <BR>J'ai aussi entendu de serveurs virtuels (plusieurs adresses IP virtuelles associées à une seule adresse IP réelle), est-ce ma solution ? si oui, où puis-je trouver un howto bien fait ? <BR> <BR>Je vous remercie par avance pour vos réponses. <BR> <BR>Cordialement <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
rberutto
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Oct 2003 00:00
Localisation: France, Nantes

Messagepar jamel_partou » 15 Déc 2003 22:41

Si je comprends bien, tu t'es installé une red hat à la maison pour pirater le proxy de ton entreprise? <BR>Je dis ca parce que qd tu te connecte a l entreprise, le proxy te percois comme je l'indique. <BR>En fait, le proxy ne laisse passer que le port 80 (http normalement si il n'ont pas été redéfini sur le proxy). Donc, tu as beau faire du rewrite engine, ou même utiliser les virtual host (l'attribution d'adresse a chaque site), forcement quand tu arrive devant le proxy, il rejette tout ce qui n'est pas autorisé. <BR>C'est sur le proxy/routeur qu'il faut agir pour rediriger les connexions.
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine

Messagepar jamel_partou » 15 Déc 2003 22:43

Ne soyons pas si negatif : <BR>peut etre une piste, activer le mode proxy de ton apache, avec les rewrite rule, y doit y avoir une soluce? <BR>A voir !
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine

Messagepar rberutto » 15 Déc 2003 23:07

non non jamel, tu n'as pas compris. Je ne veux pas rentrer sur le réseau de mon entreprise, mais en sortir <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>En fait, en étant connecté sur mon réseau d'entreprise, je veux toucher mon réseau perso sur des ports fermés par le proxy. <BR> <BR>est-ce plus clair ?
Avatar de l’utilisateur
rberutto
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Oct 2003 00:00
Localisation: France, Nantes

Messagepar jamel_partou » 15 Déc 2003 23:11

Je saisie mieux. <BR>Donc c'est au niveau des regle d'ecriture du proxy, c la seule solution. <BR>Un piste, si tu fait du vpn sur le port 80, je crois que c bon. <BR>Car vpn c du ppp sur tcp/ip, donc tu tre choisi ton port pour le faire, en principe.
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine

Messagepar rberutto » 15 Déc 2003 23:18

ok pour le vpn. <BR> <BR>et dans la pratique, comment ça marche et ça se configure ? tu aurais un howto à m'indiquer.
Avatar de l’utilisateur
rberutto
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Oct 2003 00:00
Localisation: France, Nantes

Messagepar tomtom » 16 Déc 2003 10:22

Qu'on se mette bien d'accord : ntrer ou sortir, si le proxy l'interdit, c'est interdit.. Tu utilises ton systeme pour effectuer des operations sur internet non autorisées par la politique de securité de ta boite. <BR>Je ne dis aps que je ne l'ai jamais fait, mais l ne faut pas se voiler la face : Si un beau jour un mec de la securité vient te dire que ton acces à Internet est coupé, tu ne piurras pas te plaindre... <BR> <BR>Passons au plan technique : <BR> <BR>Avec un proxy, tu ne peux faire que du http, eventuellement du https (donc etablissement d'une connexion ssl). Si tu veux faire du ssh sur le port 80, ca ne marchera pas via le prxy puisque celui-ci ne reconnaitra pas le http, et donc refusera la connexion (à moin qu'il ne soit conifguré pour autoriser le http_connect, ce qui m'etonnerait fort). En revanche, tu devrais etre capable d'acceder à webmon puisque ceci est bien du http, tu as du faire une bourde de config.... <BR>Que se passe-t-il chez toi ? -> tous les paquets arrivent sur le port 80 et sont envoyés à apache, qui tourne en mode reverse proxy. Tu peux alors reecrire les url pour rajouter un numerp de port et tu devrais pouvoir acceder sans trop de soucis à webmin (attention, je crois que c'est du https). <BR> <BR>Une autre methode plus bourrine est bien sur d'etablir un "tunnel" entre ton ordi au bureau et celui chez toi, en utilisant le port 80.. Il existe des outils dont je ne te donnerai pas le com, mais que tu peux trouver qui permettent d'etablir un tunnel au dessus de http..... Je te previens d'avance : <BR>1- Tu es dans l'illegalité complete (verifie ta charte informatique !) <BR>2- ca rissque de se voir dans les logs comme le nez au milieu de la figure (traffic important en httpvers un site, requtes http non standard etc...) <BR> <BR>Sinon, une troisième methode plus discrète encore est de monter un tunnel ssl... Mais ne compte pas sur moi pour les details, tu trouveras tout ce qu'il te faut sur google. <BR> <BR>Voila, j'espère que qut tu connais les riques que tu encoures, non seulement pour toi, mais surtout pour le systeme d'information de ta boite (he oui, avec les tunnels, plus d'antivirus, etc....), donc fais tes choix ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar rberutto » 16 Déc 2003 11:25

Ok, je te remercie pour ta réponse et tes mises en garde. Je ne souhaite en aucun cas aller à l'encontre de la sécurité de ma boite, bien au contraire. <BR> <BR>Pour répondre à ta question sur une bourde que j'aurai effectué dans ma config, j'ai l'impression que la redirection de port ne répond pas à mon pb car quand je saisis l'url <!-- BBCode auto-link start --><a href="http://MonIp/Webmin" target="_blank">http://MonIp/Webmin</a><!-- BBCode auto-link end -->, l'url affichée dans mon browser après interprétation par mon apache est <!-- BBCode auto-link start --><a href="http://MonIp:MonPort." target="_blank">http://MonIp:MonPort.</a><!-- BBCode auto-link end --> <BR>Donc j'ai l'impression que, après la première connexion, je repars à communiquer directement sur mon port != 80. <BR>Si vous avez des infos théoriques sur le système que j'utilise, pour mon info personnelle, je suis preneur. <BR> <BR>Pour finir, je pense que je vais arrêter là mes tentatives de config, vu les "risques" encourus surtout au niveau technique, mais je suis cependant preneur de la théorie sur ces aspects (pas de softs, ni de config, mais des explications "vulgarisées"). <BR> <BR>Cordialement.
Avatar de l’utilisateur
rberutto
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Oct 2003 00:00
Localisation: France, Nantes

Messagepar jamel_partou » 16 Déc 2003 12:11

Salut, <BR>je viens de me renseigner et en fait, TOMTOM a exactement raison. <BR>Si le proxy interdit et que tu contourne, c'est du HACKING. Si il arrive un problème à ta boite, c'est du PIRATAGE; <BR>En France on ne fait aucune différence. <BR>Pour la théorie : <BR>win2k intégre un serveur pptp qui permet le vpn. Il suffit de configurer un client ayant le protocole ppp. <BR>Sous red hat, il faut chercher poptop, un bon y parait. <BR>Hier, avant d'etre deconnecter sauvagement, j'ai fait une recherche sur les sites francais sur vpn, et figure toi qu'il y plein de bonne ame qui aide a configure, tant les win et linux en serveur vpn que en client vpn. <BR>A toi la joie de la recherche fondamentale sur le devenir de l'existence conjoncturel................................ <BR>Pour tes rewrite rule, le problème c'est que apache repond sur un port standard meme si en entree tu redirige. Donc ton proxy recoit la reponse des requete sur les ports defini par ton apache, qui sont standard. En bidouillant ta config red hat (a tes risque et periles) tu peux assigner des ports particuliers aux reponses de red hat. <BR>La seule soluce c de reconfig le proxy (je viens d'en parler un admin windows). <BR>Si tu n'as pas accès au proxy, retient toi, et fait bien la separation de vie prive, vie professionelle. <BR>En allemagne, celui qui fait des heures sup est considerer comme un nul. Alors n'emmene pas de travail chez toi, sous quelque forme que ce soit.
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine

Messagepar rberutto » 16 Déc 2003 12:35

Ok, tout cela semble confirmer que les Rewrite rule n'étaient pas la solution à ma demande. <BR>Dans tous les cas, il n'y avait aucun souhait de nuire à qui que ce soit dans ma recherche. Mon but ultime étant le suivant : <BR>- Disposer sur ma machine d'un serveur http perso avec mes pages perso ouvertes à tous => no pb jusque là <BR>- Pouvoir administrer ma mule de téléchargement (ctrl des downloads, ajout de nouveaux dl...) à distance ==> Donc : <BR> - soit je paramètre ma mule pour un accès web via le port 80, et je ne peux pas offrir mon site web perso, <BR> - soit je paramètre ma mule sur un autre port, mais je suis bloqué par mon proxy pro. <BR>Hormis le fait que j'aurai besoin de contourner mon proxy pro (qui n'est pas réglo je le concois), cette démarche est-elle en règle ou non ?
Avatar de l’utilisateur
rberutto
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Oct 2003 00:00
Localisation: France, Nantes

Messagepar jamel_partou » 16 Déc 2003 13:05

C'est correct hormis que, a ce que je sache, mule exploite le port 80 mais aussi le port 8080, donc ton proxy risque de l'interdire. <BR>Pour l'administartion de ton site c'est bien, mais le temps que tu risque de passer a le faire risque de se faire sur ton temps de travail, je presume (meme si tu affirme le contraire, puisque tu reagira au quart de tour si ton site rencontre des problemes, quelque soit l'heure et l'endroit ou tu te trouve). <BR>Je me repete peut etre, mais differencie la vie privee de la vie pro. <BR>Ton site tu l'administre de chez toi ou d'un cyber cafe, pas du boulot. <BR>Et inversement, n'accede pas a ton boulot depuis chez toi, tu risque gros si ta boite rencontre des problemes d'intrusion. Car ce sera a toi de PROUVER ton innocence. <BR>Une autre solution, c'est d'ouvrir une voie vers ton FAI en admin web, mais la encore, il y a une config de proxy. <BR>Apporte des chocolats à noel a l'admini du proxy, avec un coup a boire, il te permettra, mais toujours a tes risques et perils.
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)