You don't have permission to access /server-manager/...

[stratusien]

Bonjour à tous

Je viens d'installer deux serveurs à la maison :

- 1 avec Ipcop 1.9.8 pour le pare-feu et routeur
- 1 SME 7.4 en mode serveur uniquement

Les deux derrière une freebox en mode bridge c'est donc ipcop qui fait office de routeur et pare-feu en accès direct avec internet.

Avec Ipcop j'utilise 3 cartes réseaux :

- 1 sur la freebox en dhcp (red)
- 1 sur un switch pour le réseau local (green)
- 1 sur un hub avec le serveur SME en DMZ (orange)

Voici mon problème :

Quand je veux accéder au server manager à partir de mon réseau local de ma sme voici le message que je reçois après avoir validé le certificat :

You don't have permission to access /server-manager/ on this server

J'ai réinstaller la SME 4 fois et ça ne change rien.

Depuis Internet j'accède au site de ma SME en ouvrant le port 80 avec Ipcop mais je n'arrive pas à avoir accès au server-manager. Tous les cartes ont été pinguées avec succès.

Merci de votre aide...

[bethebeast]

Salut

Je viens d'installer deux serveurs à la maison :

- 1 avec Ipcop 1.9.8 pour le pare-feu et routeur
- 1 SME 7.4 en mode serveur uniquement

Les deux derrière une freebox en mode bridge c'est donc ipcop qui fait office de routeur et pare-feu en accès direct avec internet.

Avec Ipcop j'utilise 3 cartes réseaux :

- 1 sur la freebox en dhcp (red)
- 1 sur un switch pour le réseau local (green)
- 1 sur un hub avec le serveur SME en DMZ (orange)

J'ai la vague impression que ton réseau ressemble à ceci :

http://www.bj-informatique.com/ReseauTPE.php#p5-4

C'est le cas ?

Sinon, je pense que le problème relève plutôt d'IPCOP, donc voire dans le forum approprié

J'ai réinstaller la SME 4 fois et ça ne change rien.

Oo

Depuis Internet ... je n'arrive pas à avoir accès au server-manager.

C'est normal ! Aucun accès au server-manager depuis l'extérieur (par sécurité).

@+

[stratusien]

C'est normal ! Aucun accès au server-manager depuis l'extérieur (par sécurité).

Désolé je me suis mal expliqué. Ce que je voulais dire c'est que j'ai accès au site web primaire à partir d'internet avec l'adresse : http://monserveur.xxxx.xx mais qu'à partir de mon lan je n'accède pas au server-manager.

Ensuite pour le schéma c'est pas tout à fait ça, j'ai bien deux réseaux séparés physiquement avec un switch pour le réseau local et un hub avec le dmz ou se trouve ma SME.

Ce que j'aimerais c'est accéder à mon server-manager pour commencer à gérer mon serveur SME...

[Stirner]

Salut,

Ipcop+Sme... Vieux débat... Jibe si tu passes par la ...


Bon pour en revenir à ton problème décortiquons le message et apportons lui un petite traduction (pleine d'énigme) :

You (toi/vous/votre PC...ce réseau...) don't have (n'avez pas...) permission to access /server-manager/ on this server

Dormis 2 heures pas le temps de faire plus. HA si allez un dernier indice :

Tu ne peux pas plus accéder au server-manager depuis extérieur que depuis un PC en green avec serveur en DMZ pour LA MEME raison...

[stratusien]

Salut,

Ipcop+Sme... Vieux débat... Jibe si tu passes par la ...


Bon pour en revenir à ton problème décortiquons le message et apportons lui un petite traduction (pleine d'énigme) :

You (toi/vous/votre PC...ce réseau...) don't have (n'avez pas...) permission to access /server-manager/ on this server

Dormis 2 heures pas le temps de faire plus. HA si allez un dernier indice :

Tu ne peux pas plus accéder au server-manager depuis extérieur que depuis un PC en green avec serveur en DMZ pour LA MEME raison...

Merci pour tes précisions mais j'avais bien compris la traduction, ce que je voudrais comprendre c'est pourquoi à partir de mon poste en green je n'arrive pas à accéder au server-manager de ma SME.

Dois je ouvrir un port de green vers orange et si oui lequel est utilisé par server-manager ?

[jdh]

Je ne suis pas spécialiste SME donc je peux écrire des bêtises.

La SME est en "server-only", je suppose. (Il faut toujours préciser le mode de la SME !)


Il faut protéger le server-manager, c'est logique, mais comment faire ?

Le moyen le plus simple est d'ajouter, dans la config d'apache, de limiter l'accès à server-manager (en fait au répertoire) au seul réseau local (déduit de l'adressage de la carte eth0). (Enfin, c'est comme cela que je ferais !)

Donc une SME en DMZ ne peut, par ce principe, être accédé ni par Red ni par Green ! Ce qui semble bien le symptome décrit.


Pour revenir au fameux troll, on voit ici que :
- ipcop apporte de la complexité supplémentaire,
- une SME en "server+gateway" fonctionnerait directement bien,
- ipcop n'apporte pas de sécurité supplémentaire.

Donc,
- en 1, mettre un pc en Orange et vérifier que le server-manager est bien accessible,
- en 2, réfléchir à simplifier le schéma : une SME en "server+gateway" plus éventuellement un point d'accès wifi interne si besoin.

[stratusien]

Je ne suis pas spécialiste SME donc je peux écrire des bêtises.

La SME est en "server-only", je suppose. (Il faut toujours préciser le mode de la SME !)


Il faut protéger le server-manager, c'est logique, mais comment faire ?

Le moyen le plus simple est d'ajouter, dans la config d'apache, de limiter l'accès à server-manager (en fait au répertoire) au seul réseau local (déduit de l'adressage de la carte eth0). (Enfin, c'est comme cela que je ferais !)

Donc une SME en DMZ ne peut, par ce principe, être accédé ni par Red ni par Green ! Ce qui semble bien le symptome décrit.


Pour revenir au fameux troll, on voit ici que :
- ipcop apporte de la complexité supplémentaire,
- une SME en "server+gateway" fonctionnerait directement bien,
- ipcop n'apporte pas de sécurité supplémentaire.

Donc,
- en 1, mettre un pc en Orange et vérifier que le server-manager est bien accessible,
- en 2, réfléchir à simplifier le schéma : une SME en "server+gateway" plus éventuellement un point d'accès wifi interne si besoin.

Merci de ta réponse mais comme Ipcop est plus pratique (j trouve) pour le monitoring que SME c'est pour cela que je l'utilise en pare-feu et SME en simple serveur en DMZ pour faire office de serveur web, mail et FTP tout en protégeant mon réseau local.

Pour le moment aucune réponse que je reçois n'apporte de solutions mais juste une discussion autour d'un troll que je connais déjà.

Etant débutant dans le monde Linux, je souhaiterais vraiment une aide concrète et simple à comprendre pour ma petite tête...

Faut il ouvrir, rediriger un port, où et comment ?
Faut il modifier apache sur ma SME où et comment ?

Merci aux âmes charitables qui comprennent que débuter c'est pas simple

[jdh]

Tu es débutant ALORS il faut faire du SME en mode "server+gateway".


Je suis désolé, je n'ai pas le talent de Jibe pour rédiger cela.
Mais il faut regarder que tu aurais déjà server-manager avec la SME !

Le principal risque en sécurité, c'est de se croire en sécurité alors que l'on y est pas.

Et notamment, en tant que débutant, tu peux te croire avec plus de sécurité avec un ipcop.
A l'évidence, ici, ce n'est pas le cas ! Au contraire tu as plus de contraintes et tu ne comprends pas pourquoi !

Je ferais confiance à Jibe. Moi, j'ai sans doute plus d'expérience que toi, je fais confiance à Jibe pas seulement parce qu'il a du talent pour expliquer mais parce que ces arguments sont forts selon mon analyse personnelle.

De plus, cela fonctionnerait déjà ...


NB : il n'est pas question d'ouvrir un port, c'est déjà fait et cela fonctionne ! Modifier Apache, ce serait plutôt activer l'accès de n'importe où à server-manager, je ne sais pas si c'est prévu parce que les concepteurs de SME ont forcément pris le choix de ne pas autoriser cela par sécurité !

[stratusien]

Si j'ai pris Ipcop en pare-feu et sme en serveur web, mail et ftp c'est uniquement parce qu'avec ipcop je comprends assez facilement les logs par contre avec la sme je nage dans le brouillard pour lire les logs de sécu.

C'est uniquement mon avis perso

S'il y a possibilité de lire les logs aussi facilement sur sme qu'avec ipcop alors je changerais peut être mon installation

[Stirner]

RE

Je ne me suis pas contenter de traduire ce que nombre peuvent faire j'ai également cherché à te mettre sur la voie.


jdh explique bien que le server-manager de SME et limité en accès à un seul réseau (ce que j'ai tenté de faire maladroitement dans mon précèdent post). En effet par default SME limite l'accès au server-manager uniquement aux machines étant sur le même réseau qu'elle. Conclusion tu dois, au niveau de SME, autoriser d'autre réseau/machine à se connecter. Cherche dans le server-manager (pour cela tu dois soit te loguer directement en CLI ou installer temporairement un second PC en orange).

Concernant la recommandation de jdh sur l'installation en mode server+gateway je plussois.

@+

[stratusien]

stirner je te remercie

Fallait commencer par ça avant. Je me suis connecter en tant qu'utilisateur du réseau orange et là magique j'ai eu accès au server-manager.

J'ai donc rajouter ma plage d'adresse qui est en green et cela fonctionne maintenant...

Merci à toi

Problème résolu

[sibsib]

Hello,

Je suis "ravi" que tu considères ton problème comme résolu, mais à mon sens, ton problème ne fait que commencer...

Installer ce type de configuration sans avoir au minimum pris le temps de lire la doc...

Je ne vais pas en rajouter des tonnes, mais disons que je "plussoie" également (et des deux mains) au choix "SME Seul en server & Gateway" quand on ne vaut/peut pas s'investir à fond dans son installation (ce qui est ton droit le plus absolu !)

Bonne chance pour la suite,
Pascal

[Stirner]

grrrrrrrrrrr je me suis fais doubler


Non ton problème n'est pas résolu; Tu as juste une solution. donc doc tuto et lecture des posts de jibe et ccnet OBLIGATOIRE de même que me site de grand'pa qui reste the référence.

[jibe]

Salut,

On recommence le troll du siècle ?

Deux liens à lire avant de faire de telles usines à gaz : le post-it Ixus sur SME pour petits réseaux, et la page de mon site sur les réseaux pour TPE.

Cette dernière a d'ailleurs été donnée, pour le schéma, par bethebeast au 2° post.

Oui, bien sûr, Ipcop+SME, ça marche très bien. Quand on sait configurer un tel réseau, ce que je ne ferais qu'avec une extrême prudence et uniquement en cas d'absolue nécessité. La flemme de chercher à comprendre les logs de la SME ne me parait pas entrer dans le cadre d'une absolue nécessité

Maintenant, bien sûr, on est en république et chacun fait comme il l'entend (le commentaire politique et hors sujet qui aurait dû suivre est auto-censuré ).

Pour les schémas
Je l'ai dit dans ce post, je le répète dans le post-it SME pour petits réseaux : utilisez mes shémas autant que vous voulez, mais de grâce pas de lien direct : mon serveur (une SME bien sûr !) est sur une ligne ADSL, ma bande passante est donc très réduite !