Spécification d'une seule adresse ip d'écoute au serveur Apache

juleshouantonon · Le 26/03/2007, à 17:57

Salut à vous tous,je vien sur ce forum pour vous demander de l'aide.

J'ai installé Apache,seulement qu'il est acessible via les deux adresse ip de ma passerelle.

Je m'explique:en réalité j'ai mon serveur qui joue un rôle de passerelle pour le LAN entier.

J'ai ainsi 2 cartes réseaux,d'adresse ip fixes à savoir 192.168.0.3 et 192.168.1.2.Lors de

la configuration du pare-feu j'ai précisé que le serveur faisait aussi office de serveur web,puis

que Apache est installé la-dessus.Le but du jeu est que,Apache soit acessible sur la zone

démilitarizée,pour raison de sécurité.

Du coup,j'ai remarqué que, quand je tape l'adresse ip de la passerelle,à savoir 192.168.0.3 du Lan côté entreprise,j'ai l'index d'Apache qui s'affiche.De même que l'adresse ip de la passerelle côté dmz à savoire 192.168.1.2.Donc je veux finallement qu'Apache soit acessible
sur le Lan ,seulement dès qu'on tape 192.168.1.2 .Quelque soit le poste client.

Je ne sais pas si mon poste est clair .Sinon vos questions seront les bienvenues.
Merci bien pour une suite.:)

Dernière modification par juleshouantonon (Le 26/03/2007, à 19:02)

corbier · Le 26/03/2007, à 18:00

dans le fichier

/etc/apache/httpd.conf

il y a l'option

listen 0.0.0.0

tu doit mettre

listen iplan

afin de faire écouter apache sur l'iplan

juleshouantonon · Le 26/03/2007, à 18:24

Salut merci bien pour la suite.

Stp excuse-moi,puisque j'ai essayé d'éditer le fichier httpd.conf
avec la commande suivante

sudo gedit /etc/apache/httpd.conf

Mais il m'a renvoyé un fichier vide.
Peut-être c'est pas la bonne commande?:(
Ou voudrais-tu me parler de apache2.conf?:rolleyes:

juleshouantonon · Le 26/03/2007, à 18:51

Ok,j'ai également édité le fichier d' apache2.conf mais j'ai pas eu

l'option listen 0.0.0.0

Merci bien pour une suite.

juleshouantonon · Le 26/03/2007, à 19:42

Je viens d'ajouter Listen 192.168.1.2:80 à mon fichier /etc/apache2/apache2.conf.

Ensuite,j'ai rédémarré apache dans la console et j'ai eu ce bug:

administrateur@Linuxserver:~$ sudo /etc/init.d/apache2 reload
 * Reloading apache 2.0 configuration... httpd not running, trying to start
(98)Address already in use: make_sock: could not bind to address [::]:80
no listening sockets available, shutting down
Unable to open logs
                                                                         [fail]

Parcontre quand j'enlève la ligne Listen 192.168.1.2:80

tout marche,seulement qu'il est toujours accessible via la 192.168.0.3
aussi,ce que je ne voulais pas..

Un coup de pouce de votre part serait bien utile.

DiCiCat · Le 27/03/2007, à 10:38

il y a deux moyens pour faire ce que tu veut.

En etudiant le fichier Httpd.conf, tu devrais trouver un endroit où definir des host allow ou host deny. Il suffit de bloquer tout le monde et d'authoriser uniquement ton reseau (donc la plage ip qui va bien).

sinon, tu peut jouer aussi sur les fichier .htaccess directement à la racine du site web.

tu peut interdire l'accès à ton site à partir de certaines adresses IP.
Pour interdire une adresse IP :

deny from 192.168.0.2

Inversement, on peut autoriser une adresse IP :

allow from 192.168.0.2

Si on indique un ou deux nombres seulement, ils sont interprétés comme des plages d'adresses IP. Par exemple, allow from 192.168 autorise tous les accès venant d'un reseau 192.168.*.* . deny from all interdit à tout le monde l'accès, mais des scripts peuvent continuer fonctionner.

En pratique, une interdiction de certaines IP prend la forme suivante :

order allow,deny
deny from 123.45.6.7 # on interdit l'adresse précise 123.45.6.7
deny from 12.34.5 # on interdit toutes les adresses IP commençant par 12.34.5
allow from all # on autorise tous les autres

On peut aussi utiliser des noms de domaine.
Deny from microsoft.com

Dans ton cas j'essayerais de creer un fichier .htaccess à la racine de ton site web contenant:

order allow, deny
deny from 192.168.0.3
allow from 192.168.0

ca devrait bloquer tout ce qui viends de l'exterieur, de la passerelle et ne laisser l'acces qu'au reseau local.
L'avantage de gerer via .htaccess plutot que directement dans httpd.conf, c'est que tu peut definir des regles différentes en fonction des repertoires, des sites, etc.. tout ca sur le meme serveur.

Dernière modification par DiCiCat (Le 27/03/2007, à 10:48)

juleshouantonon · Le 27/03/2007, à 11:17

DiCiCat merci infiniment.:)

Je dirai que t'es un ange.:)

Tu comprends bien ce que je veux faire.Oui justement,je veux que mon serveur web soit seulement accessible à partir de l'adresse ip 192.168.1.2 .
Et qu'il soit aussi acessible par le Lan c'est à diretous les pcs d'adresse ip 192.168.0.x.Comme tu l'as dit, ca devrait bloquer tout ce qui vient de l'extérieure,mais laisser l'accès au réseau Local.

Je pense qu'avec cette option,grâce à une adresse publique routable du routeur,on
pourrait accéder au serveur web depuis l'extérieure via la passerelle je suppose,d'adresse 192.168.1.2 ??

Merci de nouveau pour la suite.:)

Dernière modification par juleshouantonon (Le 27/03/2007, à 11:20)

corbier · Le 27/03/2007, à 11:17

juleshouantonon a écrit :

Je viens d'ajouter Listen 192.168.1.2:80 à mon fichier /etc/apache2/apache2.conf.
Ensuite,j'ai rédémarré apache dans la console et j'ai eu ce bug:
administrateur@Linuxserver:~$ sudo /etc/init.d/apache2 reload
 * Reloading apache 2.0 configuration... httpd not running, trying to start
(98)Address already in use: make_sock: could not bind to address [::]:80
no listening sockets available, shutting down
Unable to open logs
                                                                         [fail]
Parcontre quand j'enlève la ligne Listen 192.168.1.2:80
tout marche,seulement qu'il est toujours accessible via la 192.168.0.3
aussi,ce que je ne voulais pas..
Un coup de pouce de votre part serait bien utile.

Il faut que tu ouvre le fichier /etc/apache2/ports.conf

et que tu supprime le

Listen 80

ensuite ouvre /etc/apache2/apache2.conf

et insére

Listen 192.168.1.2:80

et redemarre le service

sudo /etc/init.d/apache2 restart

ensuite essaie de tester

http://192.168.1.2

DiCiCat · Le 27/03/2007, à 11:40

non, si tu configure avec un ;hataccess cofiguré comme ceci

order allow, deny
deny from 192.168.0.3
allow from 192.168.0

tout ce qui est de l'autre coté de la passerelle ne pourra pas acceder au serveur apache, ni la dmz, ni la passerelle elle meme, ni ce qui viendrait de l'exterieur du routeur.

juleshouantonon · Le 27/03/2007, à 11:49

Ah non!Là c'est plus accessible depuis l'extérieure.
Je suis très désolé surement,j'ai pas été clair je suppose,et je présente mes donc mes excuses.

Ce que je voulais juste c'est que le serveur web soit seulemnt acessible
d'abord à l'interne via l'adresse ip 192.168.1.2,adresse ip de la passerellecôté DMZ.Et après via une adresse publique routable on devrait tomber sur le serveur web depuis l'extérieure.Je ne sais pas si j'ai pu bien m'exprimer maintenant.

corbier · Le 27/03/2007, à 11:51

il faut donc que tu fasse écouter ton server web sur l'ip lan et l'ip dmz ensuite pour l'ip public un redirection de port feras l'affaire

DiCiCat · Le 27/03/2007, à 12:03

je comprends pas.
tu veut que:
- Le lan accede au serveur
- l'exterieur accede au serveur
- le dmz accede au serveur ?

Qui ne doit pas acceder au serveur dans ce cas?

Si ton "probleme" est juste que le lan peut acceder au serveur apache via deux adresses ip differentes, en quoi est ce un probleme?

Dernière modification par DiCiCat (Le 27/03/2007, à 12:12)

juleshouantonon · Le 27/03/2007, à 12:42

Ok,je reprends:

je veux que le lan accède au serveur web via l'adresse ip de la passerelle
côté DMZ d'adresse ip 192.168.1.2.Puisque pour le moment quand on tape l'adresse ip de la passerelle côté entreprise c'est à dire la 192.168.0.3,il s'affiche aussi.

Ensuite on devrait accéder au serveur web via une adresse ip publique .
C'est pour cela que l'on a fait recours à une zone démilitarizée.Pour y
mettre des services publiques comme service web dont il est en question.Ce qui m'interresse plus pour le moment,c'est qu'il soit accessible d'abord via seulement la 192.168.1.2 à l'interne.

Après cela qu'est-ce que je dois faire d'autre pour que le serveur web
Apache soit acessible depuis l'extérieure grâce à une adresse routable
du routeur.C'est àdire normalement si l'on tape cette adresse routable,
on doit tomber sur la dmz et accéder au service web par exemple.:)

Je ne sais pas si j'ai été plus explicite,sinon vos questions me seront les
bienvenues.!!

DiCiCat · Le 27/03/2007, à 12:57

Il y a un truc que j'ai pas du suivre là

Le serveur apache est hebergé sur la passerelle ou il est sur une machine du lan?

Si il est sur la passerelle, c'est normal que tu puisse y acceder à partir des deux ip.
Si tu ne veut pas qu'il reponde pour le lan via les deux ip là j'avoue que je ne sait pas comment faire. Mais je ne comprends toujours pas en quoi c'est un probleme que le lan puisse y acceder via les deux ip.

Si apache est hebergé sur un poste du lan, là il y a un pb car il ne devrait pas repondre en tappant l'adresse coté dmz de la passerelle.

Si je comprend bien:
- tu a creer une DMZ pour heberger une serie de machine qui devront être accessible de l'extérieur et les separer d'un réseau lan qui doit aussi accéder à ces serveurs.

Si c'est bien le cas, je pense que tu fait une erreur en voulant héberger le serveur apache sur la passerelle. Une intrusion sur le serveur apache donnera de fait acces au roseau lan puisque les deux sont liés.

Pourquoi ne pas heberger apache directement sur un poste de la dmz indépendant de la passerelle?

Dernière modification par DiCiCat (Le 27/03/2007, à 12:58)

juleshouantonon · Le 27/03/2007, à 13:23

DiCiCat a écrit :

Il y a un truc que j'ai pas du suivre là
Le serveur apache est hebergé sur la passerelle ou il est sur une machine du lan?
Si il est sur la passerelle, c'est normal que tu puisse y acceder à partir des deux ip.
Si tu ne veut pas qu'il reponde pour le lan via les deux ip là j'avoue que je ne sait pas comment faire. Mais je ne comprends toujours pas en quoi c'est un probleme que le lan puisse y acceder via les deux ip.
Si apache est hebergé sur un poste du lan, là il y a un pb car il ne devrait pas repondre en tappant l'adresse coté dmz de la passerelle.
Si je comprend bien:
- tu a creer une DMZ pour heberger une serie de machine qui devront être accessible de l'extérieur et les separer d'un réseau lan qui doit aussi accéder à ces serveurs.
Si c'est bien le cas, je pense que tu fait une erreur en voulant héberger le serveur apache sur la passerelle. Une intrusion sur le serveur apache donnera de fait acces au roseau lan puisque les deux sont liés.
Pourquoi ne pas heberger apache directement sur un poste de la dmz indépendant de la passerelle?

Le serveur Apache est hébergé sur la passerelle.
Oui j'ai crée une DMZ pour héberger une série de machine qui devront être accessible
de l'extérieure et les séparées du réseau lan qui doit aussi accéder à ces serveurs.

Je ne refuse donc pas d'héberger apache directement sur un poste de la DMZ.

Maintenant,peux tu m'expliquer plus comment une intrusion au serveur web donnera plus
accès au réseau LAN???Juste pour compréhension.

DiCiCat · Le 27/03/2007, à 13:33

le principe de creer deux reseau separés est bien de proteger le lan des attaques eventuelles exterieur non?
Si tu heberge apache directement sur ta passerelle, la passerelle appartient aux deux reseaux, le lan et la dmz.
Quelqu'un qui s'intruduit sur ton serveur apache hebergé sur la passerelle a donc acces au deux reseau directement.

Où est la difference par rapport a n'avoir qu'un seul reseau qui heberge un serveur apache? ----> aucune

juleshouantonon · Le 27/03/2007, à 13:35

Tu as dit: une intrusion au serveur web,c'est à dire si j'hébergeais mon serveur sur la passerelle,pourrait donner accès au réseau local.

Je ne comprends pas bien,les pc du réseau local sont d'adresse 192.168.0.X,et les pc de la DMZ sont d'adresse 192.168.1.X.

Est-ce donc via la passerelle d'adresse 192.168.0.3 qu' une intrusion pourrait accéder au réseau local????

En réalité cette discussion est cruciale,puisqu'il faudra qu'ensemble
qu'on détermine le niveau de sécurité de la chose.
J'avoue que j'ai pas d'expérience à propos d'une DMZ.
Je fais donc juste ce qu'on me demande.En me basant sur des recherches pour plus comprendre .Donc vos différents apports m'aident
donc à installer quelque chose de bien stable et fiable à l'avenir.;)

Ou carrément,stp je suppose que tu en sais plus des DMZ que moi.
Donc exlique-moi plus physiquement comment ca marche donc.
Tout ce que je sais moi est de la pure théorie.

Merci bien pour une suite.:)

juleshouantonon · Le 27/03/2007, à 13:41

Ok je vois plus qu'avant maintenant.
J'avais pas encore lu ton dernier message avant.Justement c'est pour cette raison de sécurité que je pensais réfuser au serveur web de ne pas être accessible via l'adresse ip 192.168.0.3 qui relie la DMZ au réseau Lan.
Mais apparemment est-ce que ca résolvera le problème de sécurité ???

Néamoins je veux que tu me proposes comment je dois y bien procéder.

Merci bien pour une suite.:)

DiCiCat · Le 27/03/2007, à 13:43

Est-ce donc via la passerelle d'adresse 192.168.0.3 qu' une intrusion pourrait accéder au réseau local????

Oui
imagine que quelqu'un de l'exterieur accede a ton serveur apache.. c'est le but, tu l'authorise. Maintenant ce quelqu'un pirate le serveur. C'est un risque.
Il gagne le controle de la machine ou lance des scripts ou ce que tu veut.

Le serveur etant sur la passerelle, il a forcement acces directement au lan ainsi qu'a la Dmz.. Où est l'interet question securité?

Maintenant si ton serveur apache n'est pas sur la passerelle, le pirate aura toujours acces à la dmz, mais il sera incapable de trouver la passerelle ou en tout cas au minimum devra refaire un piratage de la passerelle via le serveur apache.. ce qui complique enormement les choses.

Dans le second cas, ton Lan est nettement plus protégé que dans le premier cas non?

A vrai dire, dans le premier cas, que tu ait une dmz ou pas ne change strictement rien d'un point de vu securité pusique une machine compromise met en peril tout le reseau exactement de la meme facon que si tu n'avait qu'un seul reseau qui heberge un serveur apache. Donc dans ce cas, l'interet de la dmz et de ta passerelle est nulle.

La seule solution est donc de bien separer la passerelle de tout autre service accessible depuis l'exterieur.

Dernière modification par DiCiCat (Le 27/03/2007, à 13:45)

juleshouantonon · Le 27/03/2007, à 14:22

Ok je comprends maintenant.Donc l'idéal serait donc de mettre le

serveur web sur un autre post DMZ d'adresse ip par exemple

192.168.1.3. Ou bien?

Et là je pense que je n'aurai même plus à gérer les problèmes d' écoute

d'adresse ip,n'est-ce pas?Si il y en ai ainsi je vais donc proposer ce que

tu viens de m'expliquer à l'administrateur réseau Windows.Et là il serait

seulement accessible sur tout le LAN via son adresse ip.

Merci infiniment pour la proposition.:)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 26/03/2007, à 17:57

Spécification d'une seule adresse ip d'écoute au serveur Apache

#2 Le 26/03/2007, à 18:00

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#3 Le 26/03/2007, à 18:24

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#4 Le 26/03/2007, à 18:51

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#5 Le 26/03/2007, à 19:42

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#6 Le 27/03/2007, à 10:38

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#7 Le 27/03/2007, à 11:17

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#8 Le 27/03/2007, à 11:17

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#9 Le 27/03/2007, à 11:40

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#10 Le 27/03/2007, à 11:49

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#11 Le 27/03/2007, à 11:51

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#12 Le 27/03/2007, à 12:03

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#13 Le 27/03/2007, à 12:42

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#14 Le 27/03/2007, à 12:57

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#15 Le 27/03/2007, à 13:23

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#16 Le 27/03/2007, à 13:33

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#17 Le 27/03/2007, à 13:35

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#18 Le 27/03/2007, à 13:41

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#19 Le 27/03/2007, à 13:43

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

#20 Le 27/03/2007, à 14:22

Re : Spécification d'une seule adresse ip d'écoute au serveur Apache

Pied de page des forums