Re: iptables

To: debian user french <debian-user-french@lists.debian.org>
Subject: Re: iptables
From: François Cerbelle <francois@cerbelle.net>
Date: Tue, 02 Feb 2010 09:58:52 +0100
Message-id: <[🔎] 4B67E94C.3050802@cerbelle.net>
In-reply-to: <[🔎] 4B670E41.4030109@plouf.fr.eu.org>
References: <[🔎] 8b41f62c1002010603r21653ae7s772bc4c23f392680@mail.gmail.com> <[🔎] 4B66E043.4070202@cerbelle.net> <[🔎] 4B670E41.4030109@plouf.fr.eu.org>

Pascal Hambourg a écrit :

François Cerbelle a écrit :

cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port80 vers le port 443 de mon serveur web
iptable -t nat -A PREROUTING  -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443

Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?


Oui, je me suis trompé dans ma syntaxe. J'aurais du relire le man et mes scripts avant de répondre.

Il y a le problème du HTTPS recu alors que du HTTP est attendu, et je supposais en effet que leserveur était différent (d'où le <IPSERVER>). Ce qui n'est apparemment pas le cas. Sinon, larésolution inverse de l'IP (celle visible pas le navigateur est celle de la machine iptable) donneracertainement un nom different de celui du véritable serveur (trouvé dans les certificats) et celarisque d'entraîner des plaintes des navigateur en indiquant qu'il y a peut être unhomme-dans-le-milieu ;-)

Maintenant, je crois qu'une redirection Apache serait plus efficace, voici celles que je metshabituellement en place pour les services nécessitant une authentification :

<VirtualHost *:80>
        ServerAdmin webmaster@domaine.tld
        DocumentRoot /usr/share/squirrelmail
        ServerName webmail.domaine.tld
        ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
        CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
        LogLevel warn
        ServerSignature Off
        <IfModule mod_rewrite.c>
                RewriteEngine On
                RewriteRule ^(.*) https://webmail.domaine.tld$1 [R]
        </IfModule>
</VirtualHost>
<VirtualHost *:443>
        ServerAdmin webmaster@domaine.tld
        DocumentRoot /usr/share/squirrelmail
        ServerName webmail.domaine.tld
        ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
        CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
        LogLevel warn
        ServerSignature Off
        <IfModule mod_ssl.c>
                SSLEngine On
                SSLCertificateFile /etc/apache2/ssl/apache.pem
        </IfModule>
</VirtualHost>

(les deux lignes Rewrite de la premiere section)

L'avantage est que l'utilisateur va voir qu'il est redirigé, va (peut-etre) s'en souvenir, va(peut-etre) avec des signets plus à jour, va (peut-etre) comprendre que l'adresse qu'il tape n'estpas bonne... En tout cas, je ne lui cache pas son erreur pour qu'il puisse la prendre en compte.


Fanfan

Reply to:

Follow-Ups:
- Re: iptables
  - From: cerdo cyon <le.cerdocyon@gmail.com>
- Re: iptables
  - From: David Prévot <davidp@altern.org>

References:
- iptables
  - From: cerdo cyon <le.cerdocyon@gmail.com>
- Re: iptables
  - From: François Cerbelle <francois@cerbelle.net>
- Re: iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: iptables
Next by Date: Re: iptables
Previous by thread: Re: iptables
Next by thread: Re: iptables
Index(es):
- Date
- Thread