Bonjour à tous,
Je suppose que la question a déjà été traitée, mais je ne sais pas avec quels mots clés chercher ma réponse, puisque "DNS", "Port" ou "sous-domaine" ne donnent pas vraiment grand chose à part du bruit documentaire...
Je précise pour commencer que je suis un "bricolo", j'apprends au fur et à mesure mais il y a un peu - beaucoup - de choses faites à tâton.
Le projet est le suivant :
J'ai installé un SIGB (Système Informatisé de Gestion de Bibliothèque. Je crois, pas sur du sigle) sur un serveur local à la maison.
J'ai une IP et des ports d'accès sur le réseau local.
J'ai une freebox qui me permets d'avoir un accès distant à celle-ci, et de rediriger des ports particuliers vers une adresse locale.
Par exemple, je peux faire en sorte qu'elle redirige [IP externe de la box]:34567 vers 192.168.1.10:8081
J'ai aussi la possibilité de remplacer [IP externe de la box] par un DNS, typiquement box.matolootah.fr, en configurant une entrée A dans ma zone DNS de mon Webcloud, et en configurant la chose sur la box.
A partir de là, si je tape box.matolootah.fr:34567 dans mon navigateur, il me donne accès à mon SIGB (192.168.1.10:8081) depuis internet.
Ce que je souhaiterais, c'est écrire bib.matolootah.fr dans mon navigateur, et avoir accès à ce même SIGB.
J'ai tenté la redirection invisible, mais Firefox la bloque (ce que je comprends...).
J'ai aussi tenté de configurer une entrée SRV qui renvoie vers box.matolootah.fr:34567 à partir de bib.matolootah.fr, mais cette fois j'ai la page défaut d'OVH de "Site en construction".
J'ai donc du louper quelque chose, et j'avoue ne pas maîtriser tout ce que je fais...
La sécurité est pour l'instant proche de zéro donc j'ai désactivé les accès pour l'instant, et les IP-Ports-Sous-domaines ci-dessus ne sont pas ceux utilisés, mais le problème reste exactement le même.
Une fois que ça fonctionnera en mode "basique", je me pencherai sur la question de la sécurisation des accès (soit via OVH s'il existe des fonctions intégrées en gratuit pour ça, soit via cloudflare qu'un ami m'a conseillé).
Merci d'avance à celles et ceux qui prendront le temps de se pencher sur mon problème,
Mato
44042 
18.11.2016 09:53
Bonjour,
ce que vous cherchez à faire n'existe pas au niveau DNS, vous devez tout faire sur votre machine qui gère votre "SIGB", si vous voulez qu'il soit accessible via https://[votre.fqdn.tld] alors il faudra utiliser le port 443 il n'y a pas d'autre artifice possible si vous ne voulez pas rentrer le port dans l'URL.
Idem pour la question de la sécurité c'est à faire sur votre machine, oublier les outils externe pour sécuriser votre serveur/site si vous voulez le rendre accessible sur internet.
Cordialement, janus57
Bonjour,
ce que vous cherchez à faire n'existe pas au niveau DNS, vous devez tout faire sur votre machine qui gère votre "SIGB", si vous voulez qu'il soit accessible via https://[votre.fqdn.tld] alors il faudra utiliser le port 443 il n'y a pas d'autre artifice possible si vous ne voulez pas rentrer le port dans l'URL.
Idem pour la question de la sécurité c'est à faire sur votre machine, oublier les outils externe pour sécuriser votre serveur/site si vous voulez le rendre accessible sur internet.
Cordialement, janus57
Merci pour la réponse rapide.
La redirection simple (visible) m'évite de bricoler sur la machine, c'est juste "moche" dans l'URL mais ça évitera à ma compagne ou aux éventuelles personnes qui veulent consulter le catalogue de devoir entrer des ports dans leur url.
Pour la sécurisation, là aussi je n'ai pas les compétences nécessaires, malheureusement, c'est pour celà que je souhaitais utiliser une solution type cloudflare, mais je veux bien croire que l'accès a beau être protégé, si le serveur est plein de trou ça ne changera pas grand chose - J'avais dû mal à bien cerner la plus-value apportée par ces services justement...
C'est un ubuntu serveur, il existe peut être des solutions pour gérer la sécurité de manière simplifiée? Comme on gèrerait les paramètres d'un pare-feu ou d'un antivirus?
Parce que je commence à avoir l'habitude du terminal, mais la plupart du temps je ne fais que réécrire ou copier-coller des commandes trouvées sur le net pour résoudre mes éventuels problèmes, je ne maîtrise pas ce que je fais.
Et même si je suis un bricolo, je sais que quand on ne maîtrise pas ce que l'on fait, niveau sécurité c'est rarement bon signe...
Bonjour,
Oublier les redirections côté OVH, cela ne supporte pas HTTPS.
LE plus simple est de rediriger le port 443 de votre BOX vers 192.168.1.10:8081 (si elle l’accepte).
>Pour la sécurisation, là aussi je n'ai pas les compétences nécessaires, malheureusement, c'est pour celà que je souhaitais utiliser une solution type cloudflare
Désolé, mais cela ne va pas pour autant sécuriser votre serveur/site, cloudflare n'est pas une solution magique, cela réduit juste les attaques, mais elles sont toujours là.
Le seul moyen de le sécuriser si vous n'y connaissez rien et n'avez pas envie d'apprendre est tout simplement de ne pas le rendre public.
>C'est un ubuntu serveur, il existe peut être des solutions pour gérer la sécurité de manière simplifiée? Comme on gèrerait les paramètres d'un pare-feu ou d'un antivirus?
Non, on n’administre pas un système ouvert sur internet comme on gère son PC à la maison.
>la plupart du temps je ne fais que réécrire ou copier-coller des commandes trouvées sur le net pour résoudre mes éventuels problèmes, je ne maîtrise pas ce que je fais.
Attention au copier/coller sans rien y comprendre c'est aussi une source d'attaque, encore plus maintenant avec les IA qui peuvent littéralement créer un faux site et des commandes en quelques minutes.
Donc du coup je me pose la question : pourquoi vous souhaitez absolument ouvrir ce système hébergé sur votre réseau local sur internet ?
Car il ne faut pas oublier que derrière ce système peut servir de rebond pour infecter votre réseau local; comme ferait un pirate pour entrer dans le réseau d'une société, sauf que chez un particulier c'est plus simple, il y a moins de protections.
Cordialement, janus57
En général j'essaie quand même de comprendre ce que je fais, mais typiquement l'installation de Koha (le SIGB) est assez cryptique même si j'ai compris les grandes lignes de ce que je faisais.
Mais j'ai suivi la doc officielle, je fais un minimum attention à ce que je copie-colle dans mes terminaux et à ce que j'installe, évidemment ;).
Koha est un serveur accompagné de deux clients web, chacun sur un port différent.
Un client web "staff" donnant accès (via identifiants) à l'interface d'administration du SIGB, de catalogage, etc.
Et un client "patron" (usager) qui donne accès au catalogue (ou plutôt à un moteur de recherche et un compte usager).
C'est à ce client "patron" que je souhaite accéder depuis internet.
Je suis bien obligé de faire confiance à Koha pour être sûr de la sécurité de ces pages, et vu que c'est du logiciel libre déployé dans beaucoup de bibliothèques (nottamment universitaires), j'ai la barre de confiance assez haute.
Ensuite, sur le principe, en raisonnant en architecte je me suis dis que la première sécurité était de limiter le nombre d'accès au strict nécessaire.
Donc ma box redirige uniquement vers le port d'accès au client web "patron", destiné de base à être public.
Tout autre port ne mène à rien, sauf celui de base qui mène à l'interface de connexion de la box.
Là aussi, service accessible en deux clics dans le Freebox OS (free propose même ses propres DNS si on ne veut pas payer un nom de domaine), donc je pars du principe que cette interface de connexion est sûr. En tout cas que sa sécurité dépends de la solidité du mot de passe (qui est plutôt robuste).
À partir de là je voulais surtout ajouter une couche de protection pour réduire les attaques, surtout les bots, et je compte sur le reste pour être sûr.
Bonjour,
Alors je vais peut être vous décevoir, mais il faut partir du principe que chaque interface accessible publiquement est vulnérable, que ce soit un logiciel gratuit/open source ou propriétaire, une faille dans le code est toujours possible, donc ne prenez jamais pour acquis que le système soit sécurisé même si c'est déployé sur des milliers/millions de sites (je vous laisse voir l'actualité des dernières années sur des failles logicielles qui ont réussi à toucher des grosses entreprises).
Du coup je n’ai toujours pas compris pourquoi vous souhaitez rentre cet accès public, c'est pour partager avec n'importe qui sur internet, partage entre amis/famille, partage pour une université ?
Cordialement, janus57
De facto partage avec n'importe qui sur internet via le lien.
Même si je ne vais pas publier le lien partout, l'idée c'est de ne pas avoir à créer des comptes à une personne qui voudrait regarder le contenu de la bibliothèque.
Ça nous sert pour si des gens veulent nous emprunter un livre (plutôt pour moi, pour les livres d'archi parce que ça coûte une blinde donc on se les partages), ou dans les périodes de cadeaux pour que les gens puissent facilement savoir si on a déjà tel ou tel livre parmi nos 2500 ouvrages.
Je sais qu'il existe toujours des failles, sinon les bugs bounty n'existeraient pas.
Quelqu'un d'assez déter et avec les moyens pourra toujours pénétrer un système, mais entre un SIGB libre et déployé sur des réseaux universitaires - qui ont des départements de recherche liés à l'informatique - et disons un crack d'un obscur site internet, le profane comme moi doit pouvoir faire un minimum confiance, et "juste" faire attention à ne pas créer de nouvelle faille et maintenir les systèmes à jour.
Je suis obligé de faire confiance à ma box et mon FAI (même si, fuite de données chez free ou autres, tout ça tout ça...), et le serveur accessible n'a aucun accès ou données de mot de passe enregistré qui permettrait un accès à la box en admin sauf à cumuler des enchaînements de failles dans des systèmes maintenus à jour...
Bref, à moins de m'en vouloir personnellement, si je me protège des bots et des menaces courantes, j'espère être assez inintéressant pour que les attaquants aillent voir d'autres poissons.
Bonjour,
Dans ce cas je vous souhaite une bonne chance dans votre aventure si vous comprenez les risques que cela implique et souhaitez continuer sur cette voie.
Cordialement, janus57
Je vais essayer de le réduire mais le risque ne sera en effet jamais de zéro.
J'essaierai quand même de regarder pour gérer depuis le serveur en lui même, mais j'ai du mal à voir en quoi ce serait plus sûr de l'ouvrir sur le net plutôt que d'ouvrir un seul port via la box.
Encore merci pour votre réponses sur le DNS en tout cas, ainsi que pour la prévention des risques (qui n'est jamais inutile ^^")
Bonjour,
>,mais j'ai du mal à voir en quoi ce serait plus sûr de l'ouvrir sur le net plutôt que d'ouvrir un seul port via la box.
C'est la même chose, quand on parle d'ouvrir un service sur internet c'est tout simplement le rendre accessible depuis n'importe qui (même si derrière on peut restreindre).
L'inverse aurait été de le rendre accessible uniquement via un VPN, certes cela passe par internet, mais via un tunnel privé (donc non accessible au premier venu).
C'est pour ça que si c'était limité à un objectif de famille/amis j'aurais conseillé l'option VPN.
Cordialement, janus57