iptables

François Cerbelle

01/02/2010 à 15:10

cerdo cyon a écrit :

Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

Je pense qu'iptables est capable de faire ça, sans besoin de paramétrer
le mod_rewrite d'apche.

une ligne dans ce gout la devrait faire l'affaire

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

Mais tu risque d'avoir des soucis avec la validation des certificats ensuite, dans les navigateurs.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

cerdo cyon

01/02/2010 à 15:20

--0016367fa8f5a08159047e8a95f0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Aille ! Pourquoi ces problèmes ?

Si non c'est bien le mod_rewrite qui gère ça je crois ?

C'est compliquer à mettre en place, après ce que tu viens de me dire
François, j'ai pas envie que les utilisateurs rencontre des soucis

--
cerdocyon

--0016367fa8f5a08159047e8a95f0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Aille ! Pourquoi ces problèmes ?<br><br>Si non c'est bien le mod_rewr ite qui gère ça je crois ?<br><br>C'est compliquer à mettre en pl ace, après ce que tu viens de me dire François, j'ai pas envie que les utilisateurs rencontre des soucis<br>
<br><br clear="all"><br>-- <br>cerdocyon<br><br>

--0016367fa8f5a08159047e8a95f0--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

Julien

01/02/2010 à 15:30

Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :

Aille ! Pourquoi ces problèmes ?

Si non c'est bien le mod_rewrite qui gère ça je crois ?

C'est compliquer à mettre en place, après ce que tu viens de me dire
François, j'ai pas envie que les utilisateurs rencontre des soucis

<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alias
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

cerdo cyon

01/02/2010 à 16:40

--0016e649864c641033047e8bc450
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,

Ca marche nickel

Le 1 février 2010 15:22, Julien a écrit :

Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :
> Aille ! Pourquoi ces problèmes ?
>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?
>
> C'est compliquer à mettre en place, après ce que tu viens de me dir e
> François, j'ai pas envie que les utilisateurs rencontre des soucis

<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alia s
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

--
cerdocyon

--0016e649864c641033047e8bc450
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,<br><br>Ca marche nickel<br><br><br><div class="gmail_quot e">Le 1 février 2010 15:22, Julien <span dir="ltr"><<a href="mailt o:"></a>></span> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); m argin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :<br>
<div><div></div><div class="h5">> Aille ! Pourquoi ces problèmes ?<b r>
><br>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?<br>
><br>
> C'est compliquer à mettre en place, après ce que tu viens de m e dire<br>
> François, j'ai pas envie que les utilisateurs rencontre des souc is<br>
<br>
</div></div><VirtualHost *:80><br>
ServerName <a href="http://ton-domaine.fr" target="_blank">ton- domaine.fr</a><br>
<br>
RedirectMatch 301 ^/ <a href="https://ton-domaine.fr" target="_ blank">https://ton-domaine.fr</a><br>
</VirtualHost><br>
<br>
ça te permet de rediriger les utilisateurs qui tape :<br>
<a href="http://ton-domaine.fr/" target="_blank">http://ton-domaine.fr/ </a> vers <a href="https://ton-domaine.fr/" target="_blank">https://ton -domaine.fr/</a><br>
<br>
Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mo d_alias<br>
Pour le code http de redirection tu as le choix entre 301 et 302 il me<br>
semble.<br>
<font color="#888888"><br>
Julien<br>
</font><div><div></div><div class="h5"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>cerdocyon<b r><br>

--0016e649864c641033047e8bc450--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

--0016e649864c641033047e8bc450
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,

Ca marche nickel

Le 1 février 2010 15:22, Julien <julien@nura.eu> a écrit :

Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :
> Aille ! Pourquoi ces problèmes ?
>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?
>
> C'est compliquer à mettre en place, après ce que tu viens de me dir e
> François, j'ai pas envie que les utilisateurs rencontre des soucis

<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alia s
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

--
cerdocyon

--0016e649864c641033047e8bc450
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,<br><br>Ca marche nickel<br><br><br><div class="gmail_quot e">Le 1 février 2010 15:22, Julien <span dir="ltr"><<a href="mailt o:julien@nura.eu">julien@nura.eu</a>></span> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); m argin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :<br>
<div><div></div><div class="h5">> Aille ! Pourquoi ces problèmes ?<b r>
><br>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?<br>
><br>
> C'est compliquer à mettre en place, après ce que tu viens de m e dire<br>
> François, j'ai pas envie que les utilisateurs rencontre des souc is<br>
<br>
</div></div><VirtualHost *:80><br>
ServerName <a href="http://ton-domaine.fr" target="_blank">ton- domaine.fr</a><br>
<br>
RedirectMatch 301 ^/ <a href="https://ton-domaine.fr" target="_ blank">https://ton-domaine.fr</a><br>
</VirtualHost><br>
<br>
ça te permet de rediriger les utilisateurs qui tape :<br>
<a href="http://ton-domaine.fr/" target="_blank">http://ton-domaine.fr/ </a> vers <a href="https://ton-domaine.fr/" target="_blank">https://ton -domaine.fr/</a><br>
<br>
Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mo d_alias<br>
Pour le code http de redirection tu as le choix entre 301 et 302 il me<br>
semble.<br>
<font color="#888888"><br>
Julien<br>
</font><div><div></div><div class="h5"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian- user-french-REQUEST@lists.debian.org</a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.d ebian.org">listmaster@lists.debian.org</a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>cerdocyon<b r><br>

--0016e649864c641033047e8bc450--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--0016e649864c641033047e8bc450
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,

Ca marche nickel

Le 1 février 2010 15:22, Julien a écrit :

Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :
> Aille ! Pourquoi ces problèmes ?
>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?
>
> C'est compliquer à mettre en place, après ce que tu viens de me dir e
> François, j'ai pas envie que les utilisateurs rencontre des soucis

<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alia s
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

--
cerdocyon

--0016e649864c641033047e8bc450
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,<br><br>Ca marche nickel<br><br><br><div class="gmail_quot e">Le 1 février 2010 15:22, Julien <span dir="ltr"><<a href="mailt o:"></a>></span> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); m argin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :<br>
<div><div></div><div class="h5">> Aille ! Pourquoi ces problèmes ?<b r>
><br>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?<br>
><br>
> C'est compliquer à mettre en place, après ce que tu viens de m e dire<br>
> François, j'ai pas envie que les utilisateurs rencontre des souc is<br>
<br>
</div></div><VirtualHost *:80><br>
ServerName <a href="http://ton-domaine.fr" target="_blank">ton- domaine.fr</a><br>
<br>
RedirectMatch 301 ^/ <a href="https://ton-domaine.fr" target="_ blank">https://ton-domaine.fr</a><br>
</VirtualHost><br>
<br>
ça te permet de rediriger les utilisateurs qui tape :<br>
<a href="http://ton-domaine.fr/" target="_blank">http://ton-domaine.fr/ </a> vers <a href="https://ton-domaine.fr/" target="_blank">https://ton -domaine.fr/</a><br>
<br>
Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mo d_alias<br>
Pour le code http de redirection tu as le choix entre 301 et 302 il me<br>
semble.<br>
<font color="#888888"><br>
Julien<br>
</font><div><div></div><div class="h5"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>cerdocyon<b r><br>

--0016e649864c641033047e8bc450--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

Pascal Hambourg

01/02/2010 à 18:30

Salut,

François Cerbelle a écrit :

cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443

Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

Yves Rutschle

01/02/2010 à 19:10

On Mon, Feb 01, 2010 at 06:24:17PM +0100, Pascal Hambourg wrote:

> Mais tu risque d'avoir des soucis avec la validation des certificats
> ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?

Pas d'opinion là dessus, par contre ça pourrait aussi créer
des problèmes car le navigateur s'attend à parler HTTP sur
le port 80, alors que le serveur va attendre du HTTPS: il
faudra sans doute spécifier les URLs complètement avec
https://www.example.com:80

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

Pascal Hambourg

01/02/2010 à 20:40

Yves Rutschle a écrit :

Pas d'opinion là dessus, par contre ça pourrait aussi créer
des problèmes car le navigateur s'attend à parler HTTP sur
le port 80, alors que le serveur va attendre du HTTPS

Ça dépend du protocole spécifié dans l'URL et de la configuration du
serveur pour le port 443. J'ose espérer que les deux correspondent,
sinon effectivement ça risque de ne pas marcher, comme rediriger le port
80 vers le port 21 sur lequel écoute un serveur FTP : ce n'est pas le
même protocole.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

François Cerbelle

02/02/2010 à 10:00

Pascal Hambourg a écrit :

François Cerbelle a écrit :
cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443
Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?

Oui, je me suis trompé dans ma syntaxe. J'aurais du relire le man et mes scripts avant de répondre.

Il y a le problème du HTTPS recu alors que du HTTP est attendu, et je supposais en effet que le
serveur était différent (d'où le <IPSERVER>). Ce qui n'est apparemment pas le cas. Sinon, la
résolution inverse de l'IP (celle visible pas le navigateur est celle de la machine iptable) donnera
certainement un nom different de celui du véritable serveur (trouvé dans les certificats) et cela
risque d'entraîner des plaintes des navigateur en indiquant qu'il y a peut être un
homme-dans-le-milieu ;-)

Maintenant, je crois qu'une redirection Apache serait plus efficace, voici celles que je mets
habituellement en place pour les services nécessitant une authentification :
<VirtualHost *:80>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*) https://webmail.domaine.tld$1 [R]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_ssl.c>
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
</IfModule>
</VirtualHost>

(les deux lignes Rewrite de la premiere section)
L'avantage est que l'utilisateur va voir qu'il est redirigé, va (peut-etre) s'en souvenir, va
(peut-etre) avec des signets plus à jour, va (peut-etre) comprendre que l'adresse qu'il tape n'est
pas bonne... En tout cas, je ne lui cache pas son erreur pour qu'il puisse la prendre en compte.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

Pascal Hambourg a écrit :

François Cerbelle a écrit :

cerdo cyon a écrit :

Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443

Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?

Oui, je me suis trompé dans ma syntaxe. J'aurais du relire le man et mes scripts avant de répondre.

Il y a le problème du HTTPS recu alors que du HTTP est attendu, et je supposais en effet que le
serveur était différent (d'où le <IPSERVER>). Ce qui n'est apparemment pas le cas. Sinon, la
résolution inverse de l'IP (celle visible pas le navigateur est celle de la machine iptable) donnera
certainement un nom different de celui du véritable serveur (trouvé dans les certificats) et cela
risque d'entraîner des plaintes des navigateur en indiquant qu'il y a peut être un
homme-dans-le-milieu ;-)

Maintenant, je crois qu'une redirection Apache serait plus efficace, voici celles que je mets
habituellement en place pour les services nécessitant une authentification :
<VirtualHost *:80>
ServerAdmin webmaster@domaine.tld
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*) https://webmail.domaine.tld$1 [R]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin webmaster@domaine.tld
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_ssl.c>
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
</IfModule>
</VirtualHost>

(les deux lignes Rewrite de la premiere section)
L'avantage est que l'utilisateur va voir qu'il est redirigé, va (peut-etre) s'en souvenir, va
(peut-etre) avec des signets plus à jour, va (peut-etre) comprendre que l'adresse qu'il tape n'est
pas bonne... En tout cas, je ne lui cache pas son erreur pour qu'il puisse la prendre en compte.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Pascal Hambourg a écrit :

François Cerbelle a écrit :
cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443
Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?

Oui, je me suis trompé dans ma syntaxe. J'aurais du relire le man et mes scripts avant de répondre.

Il y a le problème du HTTPS recu alors que du HTTP est attendu, et je supposais en effet que le
serveur était différent (d'où le <IPSERVER>). Ce qui n'est apparemment pas le cas. Sinon, la
résolution inverse de l'IP (celle visible pas le navigateur est celle de la machine iptable) donnera
certainement un nom different de celui du véritable serveur (trouvé dans les certificats) et cela
risque d'entraîner des plaintes des navigateur en indiquant qu'il y a peut être un
homme-dans-le-milieu ;-)

Maintenant, je crois qu'une redirection Apache serait plus efficace, voici celles que je mets
habituellement en place pour les services nécessitant une authentification :
<VirtualHost *:80>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*) https://webmail.domaine.tld$1 [R]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
<IfModule mod_ssl.c>
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
</IfModule>
</VirtualHost>

(les deux lignes Rewrite de la premiere section)
L'avantage est que l'utilisateur va voir qu'il est redirigé, va (peut-etre) s'en souvenir, va
(peut-etre) avec des signets plus à jour, va (peut-etre) comprendre que l'adresse qu'il tape n'est
pas bonne... En tout cas, je ne lui cache pas son erreur pour qu'il puisse la prendre en compte.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

cerdo cyon

02/02/2010 à 10:30

--00504502c303081a9a047e9aa6e7
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Ca marche super, merci à tous

--
cerdocyon

--00504502c303081a9a047e9aa6e7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Ca marche super, merci à tous<br><br>-- <br>cerdocyon<br><br>

--00504502c303081a9a047e9aa6e7--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

David Prévot

02/02/2010 à 11:20

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 02/02/2010 04:58, François Cerbelle wrote:

Sinon, la résolution inverse de
l'IP (celle visible pas le navigateur est celle de la machine iptable)
donnera certainement un nom different de celui du véritable serveur
(trouvé dans les certificats) et cela risque d'entraîner des plaintes
des navigateur en indiquant qu'il y a peut être un homme-dans-le-milieu ;-)

Depuis quand les clients web font de la résolution inverse, et en quel
honneur s'appuieraient-ils sur cette information pour juger de la
crédibilité du certificat émis par le serveur ?

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAktn+3YACgkQ18/WetbTC/pxqwCfXhtx53qUNuXDn3f9+0N2cbT9
pc4Anjd0d1a54FEzxFpB5Wh1Ed+PrINE
=Jtzm
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS

iptables

10 réponses

Veuillez sélectionner un problème