Iptables, Redirection port 443

Le
fabrice test
--0-409724155-1220456036=:22838
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

Bonsoir à tous,

Petite question sur la redirection de port.
Un serveur exchange (partie OWA) dans un adressage privé écoutant=
sur le port 443 pour SSL. Sur le firewall ayant une adresse IP publique es=
t réalisée une redirection d'adresse et de port. Par exemple quan=
d on se connecte sur l'@IP publique en port 1000, on redirige vers l'adress=
e IP privée sur le port 443.

Quand je tente ensuite une connexion, je vois apparaitre l'information du c=
ertificat mais après plus rien. La connexion est perdue. Par contre si=
je fais écouter OWA sur le port 1000 en interne et que je fais une si=
mple redirection d'adresse, ca passe.

Y a t il des limites à la redirection de port pour un trafic SSL ?

merci
fab

--0-409724155-1220456036=:22838
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable

<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="=
top" style="font: inherit;">Bonsoir à tous,<br><br>Petite question s=
ur la redirection de port.<br>Un serveur exchange (partie OWA) dans un adre=
ssage privé écoutant sur le port 443 pour SSL. Sur le firewall ay=
ant une adresse IP publique est réalisée une redirection d'adress=
e et de port. Par exemple quand on se connecte sur l'@IP publique en port 1=
000, on redirige vers l'adresse IP privée sur le port 443.<br><br>Quan=
d je tente ensuite une connexion, je vois apparaitre l'information du certi=
ficat mais après plus rien. La connexion est perdue. Par contre si je =
fais écouter OWA sur le port 1000 en interne et que je fais une simple=
redirection d'adresse, ca passe.<br><br>Y a t il des limites à la red=
irection de port pour un trafic SSL ?<br><br>merci<br>fab<br></td></tr></ta=
ble><br>
--0-409724155-1220456036=:22838--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude
Le #16710331
Quelques idées :
- OWA négocie-t-il de sa propre initiative autre chose par
la suite. Et sur d'autre ports ? Voir la doc.
- As tu pensé à regarder les logs ?
- Sniffer l'interface externe de ton firewall pourra peut-être aussi t 'en
apprendre plus ?

--
Salutations.
Jean-Claude

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #16711011
fabrice test wrote:
Bonsoir à tous,

Petite question sur la redirection de port.
Un serveur exchange (partie OWA) dans un adressage privé écoutant sur le port 443 pour SSL. Sur le firewall ayant une adresse IP publique est réalisée une redirection d'adresse et de port. Par exemple quand on se connecte sur l'@IP publique en port 1000, on redirige vers l'adresse IP privée sur le port 443.

Quand je tente ensuite une connexion, je vois apparaitre l'information du certificat mais après plus rien. La connexion est perdue. Par contre si je fais écouter OWA sur le port 1000 en interne et que je fais une simple redirection d'adresse, ca passe.

Y a t il des limites à la redirection de port pour un trafic SSL ?



le problème dans http (et https), c'est qu'il y a plein de redirection
(soit "invisible", soit par clic). et si l'url vers laquelle tu es
redirigé est de la forme https://toto.example.com/, alors le port qui va
être utilisé par le client est le port 443 (et 80 si t'es eun http://).
Pour que ça marche, il faut que le serveur n'utilise que des URLs
relatives (auquel cas, c'est le client qui complète en mettant le
http[s]://www.example.com:port/" qu'il a utilisé auparavant).

tu peux le voir en utilisant l'extension "Entêtes HTTP en direct" de
firefox.

sinon, tu peux aussi le voir en utilisant openssl comme client de test:
$ openssl s_client -connect serveur:1000
...
GET / HTTP/1.1
Host: toto.example.com

(deux retours à la ligne à la fin).
tu devrais alors voir les entêtes et la page renvoyée. si tu vois un 3xx
sur la première ligne de la réponse (souvent un 301), regarde bien
l'entête "Location:".



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme