Re: dyndns et modem-routeur speedtouch
manioul a écrit :
| Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :
| > Pascal@plouf a écrit :
| > | Salut,
| > |
| > | manioul a écrit :
| > | >
| > | >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquoi il
| > | >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| > | >très mauvaise idée, en terme de sécurité...
| > |
| > | Tout à fait d'accord.
| > |
| > | >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| > | >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| > | >réseau, comme serveur par défaut
| > |
| > | Ce n'est pas la première fois que je lis cette recommandation qui me
| > | laisse perplexe. N'est-il pas possible de carrément désactiver le
| > | serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| > | serait encore plus sûr : le risque d'affecter un jour par inadvertance
| > | l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
| > | pas nul...
| > Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
| > Donc, si j'ai bien compris, il faut :
| > 1/ rediriger les requêtes externes de l'ip publique vers une autre ip
| > que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
| > celle du modem 10.0.0.138)
| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z
Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :
192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"
Un petit dessin ?
---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.
Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé par
vos remarques et suggestions.
| > 2/ faire écouter le modem sur un autre port que le 80.
| Un exemple sera p-e plus parlant:
|
| - ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
| d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
| fonctionner avec une ip 192.168.0.1)
Pourquoi ? Bon, il fonctione très bien en local...
| - ton modem a deux ip:
| une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
| une ip 'privé', c'est l'adresse coté LAN 10.0.0.138
J'usque là ok.
|
| Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
| modem va recevoir la requete sur son port 80:
| Si il est _volontairement_ configuré pour répondre, c'est lui qui
| renverra la page au client et ton LAN n'aura pas connaissance de cette
| requete.
| (Si il répond et qu'il n'a pas _expressément_ été configuré pour,
| c'est qu'il y a un bug de sécurité du firmware)
|
| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .
Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...
au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?
| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80
Là tout est clair.
| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...
Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu'il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.
Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?
| >
| > J'ai bon jusqu'ici ?
| euh... la réponse est ci-dessus ;)
| >
| > Problème : je ne sais faire aucune de ces manips; Quelqu'un
| > connaitrait-il la marche à suivre (simple car je ne suis vraiment pas un
| > spécialiste des réseau ni de la sécurité informatique)
|
| Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
| plus mes notes...), mais Sébastien Picard t'a fourni une excellente
| adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
| forum.
| Bon courage.
Merci bien
--
Nicolas Roudninski
nroudninski@wanadoo.fr
Reply to: