Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

il y a 44 minutes, Jeff777 a dit :

Merci  à tous les deux pour vos suggestions....maintenant si vous savez pourquoi ça ne marche que comme cela je suis preneur. 😉

Edit : petite précision dans le reverse proxy j'ai HSTS de coché (comme pour tous) et le profil d'accès configuré à local.

C'est peut-être le HSTS qui va pas...

Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600...

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, MilesTEG1 a dit :

Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600...

C'est pour le fun...sinon oui mafreebos.freebox.fr ça a toujours fonctionné !

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, MilesTEG1 a dit :

pzs jsute laisser en accès que le lan et vpn ?

Pas besoin du VPN, c'est tellement restreint au niveau IP que ça ne craint aucune intrusion (ou alors quelqu'un qui m'en veut vraiment 😄).

L'avantage est aussi que j'utilise la même URL en interne qu'en externe.

Lien vers le commentaire
Partager sur d’autres sites

Le 09/12/2022 à 16:22, Jeff777 a dit :

nouveau reverse proxy  https://pop.ndd ==> http://host    et   entête personnalisé : host==> mafreebox.freebox.fr donne "Désolé, la page que vous recherchez est introuvable."

Ah j'ai trouvé.  https://pop.ndd ==> http://192.168.0.254   et   entête personnalisé : host==> mafreebox.freebox.fr

ça c'est bon. Je n'avais pas compris le rôle de l'en-tête . Bien que la solution avec le double https fonctionne aussi, je préfère celle-ci.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

Est ce que vous pouvez me confirmer que ce tuto (et surtout la partie redirection http vers https) ne fonctionne que si et seulement si le port 80 est ouvert sur la box et le pare-feu du NAS?

Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france.

N'y a t'il pas un autre moyen de faire autre que par web station ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Bajoum a dit :

Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france.

Tu peux utiliser le contrôle d'accès (VPN ou Local) sur les appli dont tu veux limiter l'accès. Ce qui t'obligera à te connecter en VPN de l'extérieur. Et en plus utiliser le HSTS (preloading) pour éviter les intrusions avant l'établissement du chiffrage. 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, oracle7 a dit :

@Bajoum

Bonjour,

Je plussoie à @_DR64_, et si en plus tu as un certificat Let'Encrypt, il te faudra bien alors aussi ouvrir ce port 80 pour permettre le renouvellement de ce certificat lors de son échéance.

Cordialement

oracle7😉

Non pas tout à fait car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh".

Je n'ai donc plus besoin de ce port

Lien vers le commentaire
Partager sur d’autres sites

@Bajoum

Bonjour,

Il y a 3 heures, Bajoum a dit :

car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh".

Dans ce cas, d'accord ... mais comme tu n'en parlais pas, difficile de deviner, d'où ma réponse générique.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 20/02/2018 à 09:11, Kawamashi a dit :

V. Configuration du portail des applications de DSM

Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application".

NAS24.PNG.5c42c2dfeb0fccd944bdf7d14fedc0a3.PNG

NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements.

Bonjour,

De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications.

J'ai fait l'essai en pointant sur les ports HTTP des applis, qui avaient été préalablement mis à jour dans l'onglet Applications (bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question...

⁉️

Lien vers le commentaire
Partager sur d’autres sites

@j3r3m51

Bonjour,

Il y a 2 heures, j3r3m51 a dit :

De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications.

Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ?

Il y a 2 heures, j3r3m51 a dit :

bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question...

Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ...

Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7 et merci de prendre quelques instants pour me répondre.

Il y a 9 heures, oracle7 a dit :

Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ?

Je ne l'avais pas fait volontairement, ça m'avait simplement semblé logique à l'époque.
Effectivement, sans même savoir que ça ralentissait les échanges, je m'en étais bien rendu compte.

Il y a 9 heures, oracle7 a dit :

 

Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ...

J'étais passé à côté de cette info. My bad.
Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin...
Après l'avoir désactivé, tout fonctionne parfaitement et plus rapidement !

Il y a 9 heures, oracle7 a dit :

Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ...

Du coup, puisque ça fonctionne après le tip précédent et que ma config locale n'a rien de particulier, pas besoin de vérifier tout ça 🙂

Merci encore et bien cordialement,
Jérémy

Lien vers le commentaire
Partager sur d’autres sites

@j3r3m51

Bonjour,

Il y a 11 heures, j3r3m51 a dit :

Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin...

Tu es sûr de ton coup là ? car dans le TUTO Sécuriser les accès à son NAS ce n'est pas ce que je lis :

9sJvBSm.png

 

 

Dans tous les cas, tant mieux si cela marche pour toi maintenant 😊

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@sebdepringy

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire surtout après 5 posts déjà ...

  2. il y a 20 minutes, sebdepringy a dit :

    quelqu'un aurais la liste des headers fiable et surtout qui fonctionne ?

    J'en ai rentré quelque un mais j'ai un doute sur leurs fonctionnements

    Cela dépend de l'application que tu veux atteindre via le RP. Certaines ont besoin de l'entête websocket d'autres de plus de paramètres et d'autres encore : rien.

    Pour mémoire :

    "En-tête personnalisé" sauf erreur de ma part, sert à passer des paramètres particuliers au serveur Web, notamment le Websocket pour certains types de communication utilisés par le serveur Web, afin que le Reverse Proxy puisse prendre en charge la fonction/protocole Websocket.
    Le protocole WebSocket est un protocole réseau basé sur le protocole TCP. Celui-ci définit la façon dont les données sont échangées entre les réseaux. En raison de sa fiabilité et de son efficacité, il est utilisé par presque tous les clients. TCP établit une connexion entre deux points finaux de communication qu’on appelle des sockets. Ainsi, une communication bidirectionnelle s’établit entre les données.
    Dans le cas d’une connexion bidirectionnelle comme avec le protocole WebSocket (parfois écrit web socket), les données circulent simultanément dans les deux sens. L’avantage : le chargement des données est beaucoup plus rapide.


    Dans le cas présent, je crains que tu ne joues à "l'apprenti sorcier" en introduisant ta liste d'entêtes personnalisés semble-t-il de façon systématique. Essaies déjà sans aucun entêtes, puis si tu rencontres des soucis, recherches la configuration du serveur web nginx (ou Apache selon) adaptée à ton application et là tu auras les bons entêtes à saisir.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@sebdepringy

Tu peux vérifier que ça correspond à ce que tu veux dans un fichier de configuration Nginx, ça se trouve dans :

/etc/nginx/sites-enabled/server.ReverseProxy.conf

Par exemple j'ai créé une entrée bidon dans mon proxy inversé en ajoutant dans l'interface où tu as mis tes entêtes :

X-Content-Type-Options                          nosnif

Ca donne :

server {
    listen 80;
    listen [::]:80;

    server_name toto.xxx.ovh ;

    if ( $host !~ "(^toto.xxx.ovh$)" ) { return 404; }

    proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

    location / {

        proxy_connect_timeout 60;

        proxy_read_timeout 60;

        proxy_send_timeout 60;

        proxy_intercept_errors off;

        proxy_http_version 1.1;

        proxy_set_header        Upgrade            $http_upgrade;

        proxy_set_header        Connection            $connection_upgrade;

        proxy_set_header        X-Content-Type-Options            nosnif;

        proxy_set_header        Host            $http_host;

        proxy_set_header        X-Real-IP            $remote_addr;

        proxy_set_header        X-Forwarded-For            $proxy_add_x_forwarded_for;

        proxy_set_header        X-Forwarded-Proto            $scheme;

        proxy_pass http://localhost:5124;

    }

    location ^~ /.well-known/acme-challenge {
        root /var/lib/letsencrypt;
        default_type text/plain;
    }

    error_page 403 404 500 502 503 504 /dsm_error_page;

    location /dsm_error_page {
        internal;
        root /usr/syno/share/nginx;
        rewrite (.*) /error.html break;
        allow all;
    }

}

Il apparaît bien dans la liste des entêtes.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Le 14/03/2022 à 19:46, TeddyLaFrite a dit :

Bien le bonjour,

 

J'ai lu sur un autre poste que la MAJ du certificat SSL via LE pouvait se faire uniquement via le 443.

Peut-on désormais fermer définitivement le 80 ?

Merci à tous 

Salut

Je me réponds à moi même pour les intéressés : ça fait plus d'un an que je n'ai que le 443 d'ouvert et les mises à jour du certificat via lets encrypt fonctionnent parfaitement 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.