Reverse Proxy et Profils de Contrôle d'Accès

[.Shad.]

J'ai une idée mais je suis pas du tout devant mon PC pour vérifier.

@Kramlech Quand tu ajoutes l'IP seule, ajoute aussi 127.0.0.1

Et reteste si ça marche.

[Kramlech]

Avec une IP seule, si on ajoute une deuxième IP (que ce soit l'IP 127.0.01 comme le suggérais @.Shad.) ou une autre IP de type 192.168.0.xxx, et bien cela fonctionne !!!!

Donc si ça, ce n'est pas un bug, ça y ressemble vraiment très fort !!!!🤣

[.Shad.]

Si c'est ce que je pense ce n'est pas un bug, c'est normal.

Est-ce que l'autre IP 192.168.... que tu as testée c'est celle du NAS ?

[Kramlech]

Bon, alors je pense que je me suis fait avoir par un problème de cache au niveau de mon navigateur ...

Je viens de refaire une série de test, en utilisant un autre navigateur sur lequel je vidais tout l'historique et les caches entre chaque essai, et ... alors ça ne marche pas !!!

Que je mette une IP autorisée, plusieurs IP autorisées, (dont la 127.0.0.1), aucun accès.

Dès que je met le cidr 192.168.0.0/16, ça fonctionne ....

[MilesTEG1]

Quand vous dites que ça ne marche pas, pourriez-vous être plus précis sur ce qui ne fonctionne pas ??
Est-ce le blocage qui ne fonctionne pas ?
Ou bien est-ce l'accès qui ne fonctionne pas ?

[oracle7]

@MilesTEG1

Bonjour,

Dans mon cas, je dirai que c'est l'accès qui ne fonctionne pas.

Cordialement

oracle7😉

[Kramlech]

Oui , c’est l’accès qui ne fonctionne pas pour l’IP autorisée !

[_DR64_]

Il y a 7 heures, oracle7 a dit :

ela ne fonctionne pas, les domaines personnalisés du reverse proxy sont bloqués dès que je rajoute la règle "Tous : Refuser".

Moi je n'ai pas cette règle. Enfin si mais c'est inclus dans DSM 7

[oracle7]

@GrOoT64

Bonjour,

Si tu n'as pas cette règle alors toutes autre @IP hors de la plage que tu autorises pourra utiliser ton domaine personnalisé (par ex fichier.ndd.tld saisi sur une machine d'un réseau/sous-réseau non autorisé) et donc se connecter.

Si j'ai bien compris cela marche comme dans le pare-feu, les règles du profil de contrôle d'accès sont analysées de haut en bas jusqu'à qu'à la première qui "match". Si aucune ne "match" alors c'est la dernière 'Tous Refuser" qui agit et bloque la connexion. Donc si elle n'est pas présente : tout passe !

Cordialement

oracle7😉

[_DR64_]

Le 18/06/2021 à 23:01, GrOoT64 a dit :

Enfin si mais c'est inclus dans DSM 7

@oracle7 bonsoir.
C'est ce que j'ai dit 🙂

C'est natif dans DSM7 (comme sur le RT2600ac)

Modifié le 19 juin 2021 par GrOoT64

[Einsteinium]

Tout comme mic je n’ai aucun soucis avec le reverse proxy, que cela soit en limitant au lan ou à certaines ip fixe.

Pour information… une ip unique… on rajoute /32 à la fin 😉

et pour X.X.*.*/16 et pour X.X.X.*/24

[oracle7]

@GrOoT64

Bonjour,

Voilà une bonne évolution sous DSM7, au moins on ne risque pas d'oublier cette règle ...🤗

Du coup, je ne comprend pas pourquoi chez moi cela ne marche pas.

Est-ce qu'il y a un truc pour réinitialiser complètement le reverse proxy et repartir à zéro ?

Cordialement

oracle7😉

[Kramlech]

Il y a 11 heures, Einsteinium a dit :

Tout comme mic je n’ai aucun soucis avec le reverse proxy, que cela soit en limitant au lan ou à certaines ip fixe.

Pour information… une ip unique… on rajoute /32 à la fin 😉

et pour X.X.*.*/16 et pour X.X.X.*/24

Je confirme mon problème :

• 192.168.0.0/16 => OK
• 192.168.0.0/24 => OK
• 192.168.0.104 => KO
• 192.168.0.104/32 => KO

J'ai eu un moment d'espoir en voyant que mon PC avait un IP V6.... Mais même en désactivant l'IP V6 ça ne marche pas plus !!!

[Einsteinium]

Bizarre ton problème, supprime et refait la règle ? Car perso je n’ai aucun soucis, sous dsm 7 du moins ^^’ (mais j’avais des règles venant de dsm 6 et transitions sans soucis

[Jeff777]

Bonjour,

@Kramlech j'ai profité d'être hors de chez moi pour configurer les contrôles d'accès de mes deux nas (un dsm7 et un dsm6). ça fonctionne avec les règles suivantes :

192.168.1.0/24 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 127.0.0.0/8 ; fe80::/64 :  autoriser 

puis     tous : refuser.

Est-ce que cela te parait logique ?

Par contre je ne comprends pas ce que tu veux faire en limitant l'autorisation à la seule adresse du NAS. Si tu peux m'expliquer 🙂

[Kramlech]

Je ne veux pas limiter l'autorisation à la seule adresse du NAS, mais à la seule adresse d'un PC !!!

[Jeff777]

Ok je comprends je vais essayer ça 

[oracle7]

@Kramlech

Bonjour,

Comme l'a dit @.Shad. précédemment si tu affectes un CIDR de 32 à ton @IP la plage d'@IP est bien réduite à cette seule @IP. Par exemple :

Donc cela devrait le faire, non ?

Cordialement

oracle7😉

 

[Kramlech]

@oracle7Ben non, ça ne le fait pas !!! 😭😭😭😭😭😭

[.Shad.]

Je reviens sur ce que j'avais proposé (mettre 127.0.0.1 en 2ème IP).
Le profil de contrôle d'accès c'est bêtement une interface pour le système d'ACL intégré à Nginx.

Si tu mets juste l'IP d'un périphérique qui n'est pas le NAS (ce que tu sembles vouloir faire), comment le NAS lui-même accède-t-il à Nginx ? Il ne peut pas.

Le plus simple est donc de mettre 127.0.0.0/8 en adresse autorisée. Ainsi tu es sûr que le NAS pourra toujours accéder à son proxy inversé, car c'est par la boucle locale qu'il essaiera de travailler par défaut.

En revanche, si tu me dis qu'en ajoutant uniquement les IP d'un PC A et B en autoriser, que tu refuses tout le reste, et que ça fonctionne correctement (OK pour ces deux périphériques, NOK pour le reste), je t'avoue que je n'y comprendrais plus rien et pencherais pour un bug.

Modifié le 22 juin 2021 par .Shad.

[Kramlech]

A priori, le problème ne vient pas de l'absence d'autorisation du NAS à Apache (car c'est Apache qui est paramétré dans mon serveur web...)

• Autoriser 192.168.0.104/32 et 127.0.0.0/8 ne fonctionne pas.
• Autoriser 192.168.0.0/16 seul fonctionne.
• Alors je me suis dit qu'il fallait peut être autoriser le PC et le NAS via son IP réelle, mais autoriser 192.168.0.104/32 et 192.168.0.12/32 ne fonctionne pas !!!

D'autres idées ?

 

[.Shad.]

A ma connaissance, le profil de contrôle d'accès que tu configures dans le proxy inversé s'applique uniquement à Nginx, pas Apache.
C'est dans Webstation que tu peux gérer des virtual hosts et des profils de contrôle d'accès.

Pour ma part, pas d'autre idées...

[Kramlech]

Déjà essayé avec NGINX ... Exactement le même comportement ...

Mais est-ce que quelqu'un a déjà réussi à faire un contrôle d'accès sur une seule IP locale ?

[Jeff777]

@Kramlech

J'y arrive sur le LAN. Contrôle d'accès sans l'adresse 127.0.0.0/8,  mais avec une adresse IPV4 192.168.1.2/32, je peux atteindre le dsm du nas par son reverse proxy depuis le PC qui a cette adresse, mais pas d'un autre (affichage disant que la page n'existe pas).

Je le fais aussi avec l'adresse IPV6 locale stateless   fe80::xxxx:xxff:fexx:xxxx/128.

Par contre je n'ai pas réussi pour des périphériques android en wifi sur le LAN (echec), et je n'ai pas encore testé depuis l'extérieur en VPN.

[Jeff777]

Bonjour,

J'ai créé un profil pour Vaultwarden qui n'autorise la connexion au coffre que pour certaines IP locales. Fonctionnement correct en local sauf pour l'IPV6. Une idée pour l'IPV6 sur Android ?

Modifié le 24 juin 2021 par Jeff777