#1 Le 09/07/2009, à 23:34
- patfrat
Serveur de push, port forwarding et éventuel conflit de port
Salut,
Je suis en train de mettre en place un serveur de push, alias Juggernaut, pour un extranet que je développe en RubyOnRails et hébergé sur un serveur dédié dont j'ai la charge et qui tourne sous Ubuntu Server 8.04
Juggernaut utilise par défaut le port 5001 mais le firewall de l'entreprise bloque ce port.
Et je me demande déjà si ce port peut être accessible par un poste client situé dans une autre entreprise disposant d'un firewall également...
Par contre j'ai le port 21(ftp), 80(http) et 443(https) d'ouverts au travers du firewall.
C'est pourquoi je voudrais faire du port forwarding :
Le poste client se connecterai via un socket en tcp sur le port 443.
Le serveur recevrai donc les infos sur ce port et le flux serait redirigé sur le port 5001 de la boucle locale sur lequel tourne juggernaut. A savoir que juggernaut ne peut pas être lancé sur le port 443.
Et là, un doute surgit : le port 443 sert à HTTPS et j'utilise ce port en tant que tel.
Alors forwarder du tcp port 443 vers le port 5001 ne risque-t-il pas de me priver de l'HTTPS ?
J'ai également le firewall ufw sur le serveur, en plus du firewall de l'entreprise.
Est-ce que quelqu'un pourrait m'éclairer sur mes doutes et aussi sur comment mettre en place le port forwarding avec ufw (ou directement iptables sinon) et si c'est réalisable ?
Merci d'avance.
Hors ligne
#2 Le 10/07/2009, à 11:06
- Grunt
Re : Serveur de push, port forwarding et éventuel conflit de port
Soyons précis:
- Il existe un serveur Web qui reçoit les paquets venant de l'extérieur et en direction du port 443,
- Tu veux avoir un deuxième serveur qui reçoit les paquets en provenance du 443 (quitte à rediriger en interne)?
Si c'est le cas, alors tu ne peux pas faire ce que tu demandes: comment le routeur peut deviner à quel serveur adresser les paquets venant sur le port 443?
#3 Le 10/07/2009, à 11:21
- patfrat
Re : Serveur de push, port forwarding et éventuel conflit de port
Effectivement, envoyer des infos sur leport 443 et rediriger vers le port 5001, çà me prive forcément de l'HTTPS
Donc la solution est bien d'ouvrir le port 5001 sur le serveur en direction du serveur de push.
Hors ligne
#4 Le 10/07/2009, à 11:27
- Grunt
Re : Serveur de push, port forwarding et éventuel conflit de port
Oui, il semble que tu n'aies pas trop le choix, là.
Et puis, c'est plus propre de faire tourner les applications sur le port "par défaut", au lieu d'expliquer aux gens qu'ils doivent changer de port 
#5 Le 10/07/2009, à 11:47
- patfrat
Re : Serveur de push, port forwarding et éventuel conflit de port
Reste à convaincre d'ouvrir le port sur le firewall de l'entreprise mais un service tournant derrière ce port 5001, c'est comme http sur le port 80 ou ftp sur le port 21.
Pas plus de problèmes de sécurité que pour d'autres services !?!
Dernière modification par patfrat (Le 10/07/2009, à 11:53)
Hors ligne
#6 Le 10/07/2009, à 11:51
- Grunt
Re : Serveur de push, port forwarding et éventuel conflit de port
Ça dépend de la config de ton serveur
Mais un serveur mal configuré, qu'il écoute sur le 5001 ou sur le 443, présente le même danger.
#7 Le 10/07/2009, à 11:55
- patfrat
Re : Serveur de push, port forwarding et éventuel conflit de port
Evidemment ... à ce niveau, çà va, le ftp, l'http ou https sont bien configurés.
Le serveur de push fonctionne de telle manière qu'il ne peut pousser vers les postes clients que depuis une commande provenant du localhost (en console ou depuis l'extranet)
Donc, il n'y a pas possibilité d'attaquer sur le port 5001 je pense pour mettre la zone.
Dernière modification par patfrat (Le 10/07/2009, à 11:55)
Hors ligne
#8 Le 10/07/2009, à 14:04
- gnieark
Re : Serveur de push, port forwarding et éventuel conflit de port
Reste à convaincre d'ouvrir le port sur le firewall
Une boite de chocolat au sys admin devrait suffire
Dernière modification par gnieark (Le 10/07/2009, à 14:04)
Hors ligne