iptables

Le
cerdo cyon
--0016e6d97735782bfb047e8a7132
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port 80
vers le port 443 de mon serveur web

Je pense qu'iptables est capable de faire ça, sans besoin de paramétrer=
le
mod_rewrite d'apche.

--0016e6d97735782bfb047e8a7132
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port 80 =
vers le port 443 de mon serveur web<br><br>Je pense qu&#39;iptables est cap=
able de faire ça, sans besoin de paramétrer le mod_rewrite d&#39;apche.=
<br>
<br><br>

--0016e6d97735782bfb047e8a7132--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Cerbelle
Le #21105231
cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web

Je pense qu'iptables est capable de faire ça, sans besoin de paramétrer
le mod_rewrite d'apche.




une ligne dans ce gout la devrait faire l'affaire

iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443

Mais tu risque d'avoir des soucis avec la validation des certificats ensuite, dans les navigateurs.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
cerdo cyon
Le #21105561
--0016367fa8f5a08159047e8a95f0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Aille ! Pourquoi ces problèmes ?

Si non c'est bien le mod_rewrite qui gère ça je crois ?

C'est compliquer à mettre en place, après ce que tu viens de me dire
François, j'ai pas envie que les utilisateurs rencontre des soucis



--
cerdocyon

--0016367fa8f5a08159047e8a95f0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Aille ! Pourquoi ces problèmes ?<br><br>Si non c&#39;est bien le mod_rewr ite qui gère ça je crois ?<br><br>C&#39;est compliquer à mettre en pl ace, après ce que tu viens de me dire François, j&#39;ai pas envie que les utilisateurs rencontre des soucis<br>
<br><br clear="all"><br>-- <br>cerdocyon<br><br>

--0016367fa8f5a08159047e8a95f0--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Julien
Le #21105551
Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :
Aille ! Pourquoi ces problèmes ?

Si non c'est bien le mod_rewrite qui gère ça je crois ?

C'est compliquer à mettre en place, après ce que tu viens de me dire
François, j'ai pas envie que les utilisateurs rencontre des soucis



<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alias
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
cerdo cyon
Le #21106131
--0016e649864c641033047e8bc450
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois,

Ca marche nickel


Le 1 février 2010 15:22, Julien
Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :
> Aille ! Pourquoi ces problèmes ?
>
> Si non c'est bien le mod_rewrite qui gère ça je crois ?
>
> C'est compliquer à mettre en place, après ce que tu viens de me dir e
> François, j'ai pas envie que les utilisateurs rencontre des soucis

<VirtualHost *:80>
ServerName ton-domaine.fr

RedirectMatch 301 ^/ https://ton-domaine.fr
</VirtualHost>

ça te permet de rediriger les utilisateurs qui tape :
http://ton-domaine.fr/ vers https://ton-domaine.fr/

Je ne sais plus si c'est mod_rewrite qui gère ça ? ... c'est mod_alia s
Pour le code http de redirection tu as le choix entre 301 et 302 il me
semble.

Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS






--
cerdocyon

--0016e649864c641033047e8bc450
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci Francois, Le lundi 01 février 2010 à 15:13 +0100, cerdo cyon a écrit :<br>
<div><div></div><div class="h5">&gt; Aille ! Pourquoi ces problèmes ?<b r>
&gt;<br>
&gt; Si non c&#39;est bien le mod_rewrite qui gère ça je crois ?<br>
&gt;<br>
&gt; C&#39;est compliquer à mettre en place, après ce que tu viens de m e dire<br>
&gt; François, j&#39;ai pas envie que les utilisateurs rencontre des souc is<br>
<br>
</div></div>&lt;VirtualHost *:80&gt;<br>
   ServerName <br>
   RedirectMatch 301 ^/ &lt;/VirtualHost&gt;<br>
<br>
ça te permet de rediriger les utilisateurs qui tape :<br>
<br>
Je ne sais plus si c&#39;est mod_rewrite qui gère ça ? ... c&#39;est mo d_alias<br>
Pour le code http de redirection tu as le choix entre 301 et 302 il me<br>
semble.<br>
<font color="#888888"><br>
Julien<br>
</font><div><div></div><div class="h5"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS <br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>cerdocyon<b r><br>

--0016e649864c641033047e8bc450--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
Le #21106751
Salut,

François Cerbelle a écrit :
cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web



iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443



DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443

Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.



Pourquoi, puisque seul le port change et pas l'adresse ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Yves Rutschle
Le #21107101
On Mon, Feb 01, 2010 at 06:24:17PM +0100, Pascal Hambourg wrote:
> Mais tu risque d'avoir des soucis avec la validation des certificats
> ensuite, dans les navigateurs.

Pourquoi, puisque seul le port change et pas l'adresse ?



Pas d'opinion là dessus, par contre ça pourrait aussi créer
des problèmes car le navigateur s'attend à parler HTTP sur
le port 80, alors que le serveur va attendre du HTTPS: il
faudra sans doute spécifier les URLs complètement avec
https://www.example.com:80

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
Le #21107951
Yves Rutschle a écrit :

Pas d'opinion là dessus, par contre ça pourrait aussi créer
des problèmes car le navigateur s'attend à parler HTTP sur
le port 80, alors que le serveur va attendre du HTTPS



Ça dépend du protocole spécifié dans l'URL et de la configuration du
serveur pour le port 443. J'ose espérer que les deux correspondent,
sinon effectivement ça risque de ne pas marcher, comme rediriger le port
80 vers le port 21 sur lequel écoute un serveur FTP : ce n'est pas le
même protocole.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Cerbelle
Le #21110551
Pascal Hambourg a écrit :
François Cerbelle a écrit :
cerdo cyon a écrit :
Bonjour je cherche le moyen de forwarder tout ce qui arrive sur le port
80 vers le port 443 de mon serveur web


iptable -t nat -A PREROUTING -p tcp -m tcp -d <IPSERVER> --dport 80 -j DNAT --to-port 443


DNAT n'a pas d'option --to-port. Plutôt REDIRECT, ou bien DNAT --to :443
Mais tu risque d'avoir des soucis avec la validation des certificats
ensuite, dans les navigateurs.


Pourquoi, puisque seul le port change et pas l'adresse ?




Oui, je me suis trompé dans ma syntaxe. J'aurais du relire le man et mes scripts avant de répondre.

Il y a le problème du HTTPS recu alors que du HTTP est attendu, et je supposais en effet que le
serveur était différent (d'où le <IPSERVER>). Ce qui n'est apparemment pas le cas. Sinon, la
résolution inverse de l'IP (celle visible pas le navigateur est celle de la machine iptable) donnera
certainement un nom different de celui du véritable serveur (trouvé dans les certificats) et cela
risque d'entraîner des plaintes des navigateur en indiquant qu'il y a peut être un
homme-dans-le-milieu ;-)

Maintenant, je crois qu'une redirection Apache serait plus efficace, voici celles que je mets
habituellement en place pour les services nécessitant une authentification :
<VirtualHost *:80>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
RewriteEngine On
RewriteRule ^(.*) https://webmail.domaine.tld$1 [R]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin
DocumentRoot /usr/share/squirrelmail
ServerName webmail.domaine.tld
ErrorLog /var/log/apache2/webmail.domaine.tld-error.log
CustomLog /var/log/apache2/webmail.domaine.tld-access.log combined
LogLevel warn
ServerSignature Off
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
</IfModule>
</VirtualHost>

(les deux lignes Rewrite de la premiere section)
L'avantage est que l'utilisateur va voir qu'il est redirigé, va (peut-etre) s'en souvenir, va
(peut-etre) avec des signets plus à jour, va (peut-etre) comprendre que l'adresse qu'il tape n'est
pas bonne... En tout cas, je ne lui cache pas son erreur pour qu'il puisse la prendre en compte.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
cerdo cyon
Le #21110861
--00504502c303081a9a047e9aa6e7
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Ca marche super, merci à tous

--
cerdocyon

--00504502c303081a9a047e9aa6e7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Ca marche super, merci à tous<br><br>-- <br>cerdocyon<br><br>

--00504502c303081a9a047e9aa6e7--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
David Prévot
Le #21111131
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 02/02/2010 04:58, François Cerbelle wrote:

Sinon, la résolution inverse de
l'IP (celle visible pas le navigateur est celle de la machine iptable)
donnera certainement un nom different de celui du véritable serveur
(trouvé dans les certificats) et cela risque d'entraîner des plaintes
des navigateur en indiquant qu'il y a peut être un homme-dans-le-milieu ;-)



Depuis quand les clients web font de la résolution inverse, et en quel
honneur s'appuieraient-ils sur cette information pour juger de la
crédibilité du certificat émis par le serveur ?

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAktn+3YACgkQ18/WetbTC/pxqwCfXhtx53qUNuXDn3f9+0N2cbT9
pc4Anjd0d1a54FEzxFpB5Wh1Ed+PrINE
=Jtzm
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme