Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Bonjour,

 

J'ai le même genre de configuration et le serveur web destinataire du reverse proxy reçoit toutes les requêtes comme provenant de l'IP du nas.

N'existe-t-il pas un moyen pour que le Reverse Proxy du nas transmette l'IP d'origine ?
Un genre de "IP passthrough" ?

Lien vers le commentaire
Partager sur d’autres sites

@unisev

Bonjour,

Le reverse proxy ne fait qu'écouter les URL qui arrivent sur le port 443 de ton NAS pour, selon le sous-domaine indiqué dans l'URL rediriger (après "traduction de l'URL" en quelque sorte) le flux vers l'@IP (locale ou externe) du service/application correspondant(e) à atteindre.

Du coup, je ne comprends pas trop pourquoi et pour quel usage, tu souhaiterais recevoir l'@IP d'origine de la requête entrante. Sauf erreur de ma part, je ne crois pas que le reverse proxy puisse faire cela, mais peut-être que je me trompe aussi ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, unisev a dit :

N'existe-t-il pas un moyen pour que le Reverse Proxy du nas transmette l'IP d'origine ?
Un genre de "IP passthrough" ?

Essaye ça : (dernière ligne)
QQePwj4.png

 

Il y a 3 heures, oracle7 a dit :

Du coup, je ne comprends pas trop pourquoi et pour quel usage, tu souhaiterais recevoir l'@IP d'origine de la requête entrante. Sauf erreur de ma part, je ne crois pas que le reverse proxy puisse faire cela, mais peut-être que je me trompe aussi ...

Pour Fail2Ban par exemple 😉 

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, oracle7 a dit :

@MilesTEG1

Bonjour,

OK, mais la mise en œuvre du blocage natif du compte dans DSM n'est pas suffisante en soit à ce niveau ?

Cordialement

oracle7😉

Qui a dit qu’il parlait d’une application dsm ? 😅ça peut très bien être Bitwarden ou autre 😇

J’ai ça pour mon coffre Vaultwarden et j’ai mis en place une instance Fail2ban pour lui et d’autres.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, oracle7 a dit :

@MilesTEG1

Bonjour,

Donc si je comprends bien l'option "X-Real-IP" dans l'entête de la redirection Reverse Proxy fournirait l'@IP d'origine de l'URL entrante et permettrait ainsi au système fail2ban de filtrer ou non celle-ci. J'ai bon ?

Cordialement

oracle7😉

 

Oui c’est l’idée. Par contre depuis le lan si tu passes par le loopback de la box ce sera son ip internet qui sera remontée.

pour corriger ça faut faire une réécriture dns dans un serveur local . Moi j’utilise adguard home pour faire ça.

Lien vers le commentaire
Partager sur d’autres sites

Il faudrait idéalement que j'étoffe la section f2b (et que j'ajoute l'implémentation de f2b-discord, que j'utilise depuis qu'on a regardé ça ensemble 😉).

Mais je crois que ce tutoriel décourage déjà les meilleures volontés, je ne vais pas en rajouter une couche. 😄 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Bonjour,

Personnellement, je serais bien tenté mais j'ai encore du mal à voir son intérêt pour moi.

Pour l'instant, je suis satisfait du Reverse Proxy de DSM et de son Fail2ban, d'où mon expectative 🤔.

Mais comme je suis curieux, je ne dis pas que je ne franchirais pas le rubicon, je pèse encore les patates 😜

Je recherche et suis preneur d'exemples d'utilisations qui pourraient finir de me convaincre. Si tu en as en magasin ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Des arguments en sa faveur il y en a plein, je m'en rends compte fréquemment vu que je l'utilise depuis plus d'un an :

- Gestion et renouvellement automatique du certificat
- Possibilité d'éditer intégralement les configurations Nginx sans craindre qu'elle soient écrasées à la suite d'une màj d'OS ou de paquet
- Configurations préexistantes de proxy inversé pour un grand nombre d'applications
- Fail2ban à la demande pour toutes les applications, pas seulement celles de DSM
- Surcouches d'authentification possibles : http, ldap et authelia (2FA, 1FA à la demande)

Actuellement sur DSM, si tu dois traiter différemment l'url application.ndd.tld de application.ndd.tld/admin, tu oublies de le faire via l'interface. Et je suis pas sûr qu'une modification par terminal persiste à un redémarrage du paquet.
Le proxy inversé de DSM est tout sauf mauvais, mais il ne tient pas la comparaison face à SWAG selon moi.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, April a dit :

Bonjour

Pour avoir le reverse-proxy + fail2ban ainsi que l'IP d'origine il faut suivre ce tuto :

 

Comme le dit @.Shad. dans une des réponses précédentes, ce tuto, bien que super attrayant pour moi, me fait un peu carrément peur 😄 
Il est complet, mais très dense. Il me faudrait consacrer un paquet d'heures pour le mettre en place, et là, j'ai pas ce temps.

De plus, ce que tu dis, sur le fait que le tuto est nécessaire, n'est pas vrai.
J'utilise le conteneur docker Fail2Ban pour protéger certains conteneurs comme Vaultwarden, Gitea.
Pour les applications DSM (paquet) je laisse DSM gérer ^^

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Après avoir suivi le tuto de sécurisation du NAS, celui de création d'un certificat Wilcard Let's Encrypt et enfin celui du VPN Server, j'aimerai m'atteler à celui-ci en espérant que ça convienne à mes souhaits 😉.

Je m'explique : j'aimerai me connecter soit depuis mon réseau local soit depuis l'extérieur en VPN aux applications du NAS en utilisant par exemple NAS.monnomdedommaine.fr

J'ai fait un test sur l'interface DSM et je peux bien y accéder connecté depuis mon réseau local mais également de l'extérieur mais sans VPN😕 en tapant NAS.monnomdedommaine.fr

Y a-t-il un moyen pour paramétrer cela?

 

Lien vers le commentaire
Partager sur d’autres sites

Si tu y accèdes depuis l'extérieur c'est que tu as une redirection de ports statique de la box vers le NAS du port 5000. Ou que l'uPnP est activé et que le NAS ouvre le port tout seul (ça veut aussi dire que l'uPnP est activé sur la box).

Pour l'instant je ne vois pas le rapport avec le proxy inversé, sauf si tu essaies d'accéder à nas.mondomaine.fr via https.

Lien vers le commentaire
Partager sur d’autres sites

Merci @.Shad. pour ta réponse.

Sur ma boxmachine, j'ai uniquement le port 443 de redirigé vers le NAS (ainsi que 500 et 4500 pour le VPN).

uPnP est bien désactivé sur la boxmachine.

J'accède effectivement au DSM en https.

Voici la config que j'ai réalisé pour y avoir accès :

image.png.6e0f1c35d605010f0d0b2d841630f155.png

Pour faire ce que je veux faire, je n'utilise peut être pas la bonne méthode?

Lien vers le commentaire
Partager sur d’autres sites

@mickaeulkaeul

Pour cela, il faut définir un profil de contrôle qui limite l'accès aux seules IP privées (on peut en réduire la voilure aux seules plages réellement utilisées) et l'appliquer dans la règle.

Par ailleurs, il est inutile de remettre une couche ssl sur la redirection. Vous pouvez très bien mettre du http sur la redirection avec un port http (ici le 5000).

Enfin, inutile aussi de donner l'ip du NAS sur la destination puisqu'il s'agit de l'hôte local. Vous remplacez simplement l'IP par "localhost" (sans les guillemets bien entendu).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour à tous,

je viens de suivre méticuleusement ce tuto et je suis très content du résultat, tout fonctionne pour l'ensemble des services.

Par contre je tourne en rond pour le client Mac Synology Drive Client.

Pour le moment, quant je suis en LAN, je dois rentrer l'adresse IP du NAS et dès lors que je quitte le réseau local je peux remettre le NDD perso.

Si je laisse le NDD en local, la synchro ne fonctionne plus.

J'ai lu plein de choses dans ce post et sur d'autres forums et je n'arrive pas à en faire la synthèse pour trouver une solution où je pourrais laisser mon NDD dans le Synology Drive Client 

Quelqu'un pourrait me donner une solution viable? 

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Rutos 

Le proxy inverse fonctionne en accès externe.

Pour l'utiliser la même adresse sur le LAN, je crois qu'il existe 3 solutions :

1/avoir une box ou routeur qui fasse du loopback

2/paramétrer une zone privée avec DNS serveur

3/bidouiller le fichier host

Personnellement j'utilise la deuxième solution

Lien vers le commentaire
Partager sur d’autres sites

j'ai donc opté pour la mise en place de DNS Server via SRM

j'ai suivi toutes les étapes et Synology drive client en local a toujours besoin de l'adresse ip et ne sait pas utiliser le NDD avec le sous-domaine dédié au drive

C'est même pire qu'avant car plus aucun sous domaine n'est accessible en local

 

Modifié par Rutos
Lien vers le commentaire
Partager sur d’autres sites

@Rutos

Bonjour,

Tu n'as pas précisé de quel type de box tu utilises, mais si tu veux tirer le meilleur parti de ton RT2600ac, et disposer ainsi d'une solution bien plus paramétrable et adaptable alors je t'invite à lire au moins ce TUTO.

Libre à toi de l'appliquer ou non en transposant la partie concernant la Livebox 4 à ta box. A l'interface près, tu devrais retrouver aisément les fonctions citées dans le TUTO et les paramétrer facilement. Ainsi ta box ne sera plus qu'un simple modem (exit tous ses défauts) et ton routeur assurera toute la sécurité qui va bien pour ton réseau local tout en te permettant d'utiliser les serveurs DNS de ton choix et non plus ceux imposés par ton FAI (lequels sont réputés souvent être "menteurs").

Maintenant ce que j'en dis, c'est toi qui voit ...

Pour Drive as-tu transféré le port 6690 de ta box/routeur vers le NAS et ouvert ce port dans le pare-feu du NAS ? Drive a besoin de ce port pour faire ses synchronisations.

Enfin, comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.