Serveur Web derrière un proxy a authentification

Yannou · Le 13/07/2007, à 14:43

Bonjour, je suis actuellement entrain d'étudier la possibilité d'installer un serveur LAMP/web sur un réseau d'entreprise.
Or cette entreprise possède un réseau local qui doit s'authentifier pour accèder au Web !

on se retrouve donc dans un configuration comme celle-ci :

WEB
--------------------------------------------------
|
|
|
proxy
|
|
|
-------------------
| | | |
PC1 PC2 Server1 Server LAMP

Or dans cette configuration je n'arrive ni à accéder au WEB depuis le serveur LAMP meme en configurant de manière correcte le Server LAMP(je pense que c'est parce que c'est script de connection avec authentification que requiere le PROXY) et de plus je pense que je ne pourrais pas dans cette configuration atteindre mon serveur LAMP depuis l'extérieur.

Est-ce que quelqu'un a une solution ? ou la seule solution possible est de mettre une ligne ADSL non protégée, ou alors de faire héberger son site ailleur...

Et finalement je voulais savoir si quand depuis PC1 ou PC2 ( sur mon schéma) je tente d'accéder au server LAMP , si la requête passe par le proxy aussi. Car même depuis PC1 ou PC2 je n'arrive pas a voir le contenu de mon server LAMP sur un navigateur. J'arrive juste a le PINGer .

cduray · Le 13/07/2007, à 15:09

Hello

Il faut peut-être réétudier la position du LAMP dans le réseau...

je pense que je ne pourrais pas dans cette configuration atteindre mon serveur LAMP depuis l'extérieur.

Mettre un Apache en pâture aux fauves libérés sur Internet requiert une bonne dose de courage/patience. Ton Apache est-il à jour? Est-il chrooté? Y a-t-il un firewall en place? IPtables?

une ligne ADSL non protégée

C'est probablement la *pire* solution: multiplier les points d'entrée sur un réseau d'entreprise... Mieux vaut réétudier le réseau et placer le serveur LAMP à un endroit stratégique, avec les bonnes règles de routage / firewalling.

je voulais savoir si quand depuis PC1 ou PC2 ( sur mon schéma) je tente d'accéder au server LAMP , si la requête passe par le proxy aussi

Ca dépend comment les PC's sont configurés. Dans les paramètres proxy, il y a "ne pas utiliser le proxy pour les adresses locales".

Dernière modification par cduray (Le 13/07/2007, à 15:46)

Yannou · Le 13/07/2007, à 15:32

Merci de ta réponse rapide !

Ton Apache est-il à jour? Est-il chrooté? Y a-t-il un firewall en place? IPtables?

Je l'ai installé à partir de la version server 7.04 d'ubuntu, et vu que je n'ai aucun accès internet sur le serveur il n'y a pas de mise à jour. Je me suis renseigné sur le Chroot mais je ne saisis pas vraiment à quoi cela sert. Bon en tout cas je ne le suis pas. Au niveau Firewall et iptable je me renseigne et je repost.

Ca dépend comment les PC's sont configurés. Dans les paramètres proxy, il y a "ne pas utiliser le proxy pour les adresses locales".

C'est bon pour ce point en local mon serveur fonctionne sans soucis.

cduray · Le 13/07/2007, à 15:57

Les questions à te poser sont:
- quelle sera l'utilisation de ce serveur pour la partie locale (réseau d'entreprise) et la partie publique (port 80 du serveur présenté au reste du monde)?
- la partie "publique" ne serait-elle pas mieux chez un hébergeur? (pas de danger d'attaque du réseau d'entreprise par ce biais)
- pourquoi le serveur lamp doit-il avoir une connexion sortante (i.e. télécharger depuis le web)?
- comment la sécurité est-elle gérée au niveau du réseau?

Le chroot permet de changer le "root" d'un processus. Si le serveur Apache est lancé normalement, son root est "/", il a donc accès à tous les fichiers de l'arborescence (enfin, selon les droits UNIX ou Acl's y-associés).

Si ce même serveur est chrooté (dans /var/chroot, par exemple), les (sous-)processus n'auront accès qu'aux fichiers sous cette arborescence. Si un shell était lancé depuis ce serveur, un "ls /" donnerait le contenu du répertoire "/var/chroot", etc...

Ceci limite les dégâts en cas de hacking (et hacking il y aura un jour) mais n'est pas infaillible.

C

Yannou · Le 13/07/2007, à 16:20

Dans les prochains mois, ce serveur ne servira qu'a héberger un site internet, ensuite moi je ne serais plus dans l'entreprise donc ils en feront ce qu'ils veulent mais je ne pense plus qu'il le toucheront. C'est un tout petit poste transformé en serveur (pour une petite entreprise aussi).

Le serveur n'a pas forcémment besoin d'avoir accès à l'extérieur, pour l'instant ce sont de simples tests. Au contraire une fois qu'il fonctionnera (si cela arrive un jour) il n'aura plus d'accès vers l'extérieur, mais l'extérieur doit avoir un accès vers ce serveur. Mais pour l'instant je pense que le proxy m'interdit de rentrer sur le serveur !

Donc pour résumer, ce serveur ne servira pour le moment qu'au site internet, donc doit "simplement" être accessible depuis l'extérieur.

- la partie "publique" ne serait-elle pas mieux chez un hébergeur? (pas de danger d'attaque du réseau d'entreprise par ce biais)

Ca c'est certain, on m'a demandé d'étudier la possibilité d'héberger le site au sein de l'entreprise, donc je cherche un moyen.
J'aimerais juste essayer de le faire fonctionner quelques temps, pour étudier la fiabilité et la sécurité de la solution. Si elle convient ca restera comme ca ... Sinon le site va chez un hébergeur.

Merci pour ces infos sur le Chroot et merci pour ton aide !

Yannou · Le 19/07/2007, à 09:36

Bonjour, je me permet de relancer la discussion car j'ai obtenu la configuration exacte de mon réseau :

Voila ma configuration exacte... et je n'arrive toujours pas à accéder par internet à ce Serveur LAMP.
Le problème c'est que je ne peux le mettre que dans la partie basse de mon schéma, car tout ce qui est après le VPN est dans un autre site que celui ou je me trouve...
Est-il possible de faire "traverser" des requêtes du réseau Internet par le VPN vers mon serveur LAMP?
C'est sur ce n'est pas très sécurisé, mais même si la solution n'aboutie pas, ce sera pour ma culture personnelle !;)

Merci d'avance !

Yannou

cduray · Le 19/07/2007, à 10:55

C'est faisable, mais affreusement pas propre! En fait il faut que le routeur au bout de ton VPN puisse faire du NAT. Il s'alloue alors une adresse locale au réseau du fw, et forwardera les packets reçus sur cette "adresse" au travers du VPN vers ton serveur LAMP. Le fw doit bien sur tolérer le traffic vers cette "ip nattée" sur port 80.

C'est affreusement pas propre, pcq si ton serveur LAMP est compromis, ce n'est pas le réseau "du dessus" qui devient compromis, mais celui "du dessous", qui contient probablement des données (mails, finances, ...) que l'entreprise, je suis sûr, n'a pas trop envie de voir en proie à des mains peu délicates.

Bon amusement

C

Yannou · Le 19/07/2007, à 11:22

Nous allons opter pour des solutions plus simples, car cette solution n'est pas acceptable !
je pense que cette discussion est maintenant close pour de bon !

Merci beaucoup cduray !! tes réponses ont été claires et rapides !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/07/2007, à 14:43

Serveur Web derrière un proxy a authentification

#2 Le 13/07/2007, à 15:09

Re : Serveur Web derrière un proxy a authentification

#3 Le 13/07/2007, à 15:32

Re : Serveur Web derrière un proxy a authentification

#4 Le 13/07/2007, à 15:57

Re : Serveur Web derrière un proxy a authentification

#5 Le 13/07/2007, à 16:20

Re : Serveur Web derrière un proxy a authentification

#6 Le 19/07/2007, à 09:36

Re : Serveur Web derrière un proxy a authentification

#7 Le 19/07/2007, à 10:55

Re : Serveur Web derrière un proxy a authentification

#8 Le 19/07/2007, à 11:22

Re : Serveur Web derrière un proxy a authentification

Pied de page des forums