Aller au contenu

Reverse Proxy et Profils de Contrôle d'Accès


Messages recommandés

Bon, alors je pense que je me suis fait avoir par un problème de cache au niveau de mon navigateur ...

Je viens de refaire une série de test, en utilisant un autre navigateur sur lequel je vidais tout l'historique et les caches entre chaque essai, et ... alors ça ne marche pas !!!

Que je mette une IP autorisée, plusieurs IP autorisées, (dont la 127.0.0.1), aucun accès.

Dès que je met le cidr 192.168.0.0/16, ça fonctionne ....

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, oracle7 a dit :

ela ne fonctionne pas, les domaines personnalisés du reverse proxy sont bloqués dès que je rajoute la règle "Tous : Refuser".

Moi je n'ai pas cette règle. Enfin si mais c'est inclus dans DSM 7

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64

Bonjour,

Si tu n'as pas cette règle alors toutes autre @IP hors de la plage que tu autorises pourra utiliser ton domaine personnalisé (par ex fichier.ndd.tld saisi sur une machine d'un réseau/sous-réseau non autorisé) et donc se connecter.

Si j'ai bien compris cela marche comme dans le pare-feu, les règles du profil de contrôle d'accès sont analysées de haut en bas jusqu'à qu'à la première qui "match". Si aucune ne "match" alors c'est la dernière 'Tous Refuser" qui agit et bloque la connexion. Donc si elle n'est pas présente : tout passe !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64

Bonjour,

Voilà une bonne évolution sous DSM7, au moins on ne risque pas d'oublier cette règle ...🤗

Du coup, je ne comprend pas pourquoi chez moi cela ne marche pas.

Est-ce qu'il y a un truc pour réinitialiser complètement le reverse proxy et repartir à zéro ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Einsteinium a dit :

Tout comme mic je n’ai aucun soucis avec le reverse proxy, que cela soit en limitant au lan ou à certaines ip fixe.

Pour information… une ip unique… on rajoute /32 à la fin 😉

et pour X.X.*.*/16 et pour X.X.X.*/24

Je confirme mon problème :

  • 192.168.0.0/16 => OK
  • 192.168.0.0/24 => OK
  • 192.168.0.104 => KO
  • 192.168.0.104/32 => KO

J'ai eu un moment d'espoir en voyant que mon PC avait un IP V6.... Mais même en désactivant l'IP V6 ça ne marche pas plus !!!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

@Kramlech j'ai profité d'être hors de chez moi pour configurer les contrôles d'accès de mes deux nas (un dsm7 et un dsm6). ça fonctionne avec les règles suivantes :

192.168.1.0/24 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 127.0.0.0/8 ; fe80::/64 autoriser 

puis     tous : refuser.

Est-ce que cela te parait logique ?

Par contre je ne comprends pas ce que tu veux faire en limitant l'autorisation à la seule adresse du NAS. Si tu peux m'expliquer 🙂

Lien vers le commentaire
Partager sur d’autres sites

Je reviens sur ce que j'avais proposé (mettre 127.0.0.1 en 2ème IP).
Le profil de contrôle d'accès c'est bêtement une interface pour le système d'ACL intégré à Nginx.

Si tu mets juste l'IP d'un périphérique qui n'est pas le NAS (ce que tu sembles vouloir faire), comment le NAS lui-même accède-t-il à Nginx ? Il ne peut pas.

Le plus simple est donc de mettre 127.0.0.0/8 en adresse autorisée. Ainsi tu es sûr que le NAS pourra toujours accéder à son proxy inversé, car c'est par la boucle locale qu'il essaiera de travailler par défaut.

En revanche, si tu me dis qu'en ajoutant uniquement les IP d'un PC A et B en autoriser, que tu refuses tout le reste, et que ça fonctionne correctement (OK pour ces deux périphériques, NOK pour le reste), je t'avoue que je n'y comprendrais plus rien et pencherais pour un bug.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

A priori, le problème ne vient pas de l'absence d'autorisation du NAS à Apache (car c'est Apache qui est paramétré dans mon serveur web...)

  • Autoriser 192.168.0.104/32 et 127.0.0.0/8 ne fonctionne pas.
  • Autoriser 192.168.0.0/16 seul fonctionne.
  • Alors je me suis dit qu'il fallait peut être autoriser le PC et le NAS via son IP réelle, mais autoriser 192.168.0.104/32 et 192.168.0.12/32 ne fonctionne pas !!!

D'autres idées ?

 

Lien vers le commentaire
Partager sur d’autres sites

A ma connaissance, le profil de contrôle d'accès que tu configures dans le proxy inversé s'applique uniquement à Nginx, pas Apache.
C'est dans Webstation que tu peux gérer des virtual hosts et des profils de contrôle d'accès.

Pour ma part, pas d'autre idées...

Lien vers le commentaire
Partager sur d’autres sites

@Kramlech

J'y arrive sur le LAN. Contrôle d'accès sans l'adresse 127.0.0.0/8,  mais avec une adresse IPV4 192.168.1.2/32, je peux atteindre le dsm du nas par son reverse proxy depuis le PC qui a cette adresse, mais pas d'un autre (affichage disant que la page n'existe pas).

Je le fais aussi avec l'adresse IPV6 locale stateless   fe80::xxxx:xxff:fexx:xxxx/128.

Par contre je n'ai pas réussi pour des périphériques android en wifi sur le LAN (echec), et je n'ai pas encore testé depuis l'extérieur en VPN.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai créé un profil pour Vaultwarden qui n'autorise la connexion au coffre que pour certaines IP locales. Fonctionnement correct en local sauf pour l'IPV6. Une idée pour l'IPV6 sur Android ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.