Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :
> Pascal@plouf a écrit :
> | Salut,
> |
> | manioul a écrit :
> | >
> | >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquoi il
> | >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
> | >très mauvaise idée, en terme de sécurité...
> |
> | Tout à fait d'accord.
> |
> | >Il me semble que le nat du port 80 devrait suffire et pour des raisons
> | >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
> | >réseau, comme serveur par défaut
> |
> | Ce n'est pas la première fois que je lis cette recommandation qui me
> | laisse perplexe. N'est-il pas possible de carrément désactiver le
> | serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
> | serait encore plus sûr : le risque d'affecter un jour par inadvertance
> | l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
> | pas nul...
> Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
> Donc, si j'ai bien compris, il faut :
> 1/ rediriger les requêtes externes de l'ip publique vers une autre ip
> que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
> celle du modem 10.0.0.138)
^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
as un routeur entre le modem-routeur et ton serveur web? :o Parce
qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z
> 2/ faire écouter le modem sur un autre port que le 80.
Un exemple sera p-e plus parlant:
- ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
fonctionner avec une ip 192.168.0.1)
- ton modem a deux ip:
une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
une ip 'privé', c'est l'adresse coté LAN 10.0.0.138
Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
modem va recevoir la requete sur son port 80:
Si il est _volontairement_ configuré pour répondre, c'est lui qui
renverra la page au client et ton LAN n'aura pas connaissance de cette
requete.
(Si il répond et qu'il n'a pas _expressément_ été configuré pour,
c'est qu'il y a un bug de sécurité du firmware)
Ce que tu veux, c'est que ce genre de requetes soient servies par ton
serveur 10.0.0.1 .
Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
serveur web (10.0.0.1:80).
Ainsi, la requete va suivre le cheminement suivant:
1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80
Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
les requetes depuis l'extérieur.
J'espère avoir un peu éclairci...
>
> J'ai bon jusqu'ici ?
euh... la réponse est ci-dessus ;)
>
> Problème : je ne sais faire aucune de ces manips; Quelqu'un
> connaitrait-il la marche à suivre (simple car je ne suis vraiment pas un
> spécialiste des réseau ni de la sécurité informatique)
Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
plus mes notes...), mais Sébastien Picard t'a fourni une excellente
adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
forum.
Bon courage.
>
> En tout cas merci pour vos réponses.
np
>
> --
> Nicolas Roudninski
> nroudninski@wanadoo.fr
++ ;)
>
>
--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
\|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=