dyndns et modem-routeur speedtouch

Sebastien PICARD

28/01/2005 à 16:40

salut,

essaie de regarder sur forpage.com

c'est un forum super complet pour les speedtouch

Le Fri, 28 Jan 2005 16:35:36 +0100 , dans son impérissable
Re: dyndns et modem-routeur speedtouch
Nicolas Roudninski Nicolas Roudninski écrivait
:

a écrit :
| Salut,
|
| manioul a écrit :
| >
| >Si tu ne veux que l'accès à ton serveur web, je ne vois pas

pourquoi il

| >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs,

une

| >très mauvaise idée, en terme de sécurité...
|
| Tout à fait d'accord.
|
| >Il me semble que le nat du port 80 devrait suffire et pour des

raisons

| >de sécurité, tu définis au contraire une ip qui n'existe pas sur

ton

| >réseau, comme serveur par défaut
|
| Ce n'est pas la première fois que je lis cette recommandation qui me

| laisse perplexe. N'est-il pas possible de carrément désactiver le
| serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| serait encore plus sûr : le risque d'affecter un jour par

inadvertance

| l'adresse defserver (qu'on aura oubliée) à une nouvelle machine

n'est

| pas nul...
Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
Donc, si j'ai bien compris, il faut :
1/ rediriger les requêtes externes de l'ip publique vers une autre ip
que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
celle du modem 10.0.0.138)
2/ faire écouter le modem sur un autre port que le 80.

J'ai bon jusqu'ici ?

Problème : je ne sais faire aucune de ces manips; Quelqu'un
connaitrait-il la marche à suivre (simple car je ne suis vraiment pas

un

spécialiste des réseau ni de la sécurité informatique)

En tout cas merci pour vos réponses.

--
Prédire n'est pas expliquer.
-+- Réne Thom -+-
---------------------------------------
Sebastien PICARD
IUT Belfort-Montbeliard
Technicien de Recherche
et Formation

Tel : (+33) 3 84 58 77 79
Fax : (+33) 3 84 58 77 81
---------------------------------------

salut,

essaie de regarder sur forpage.com

c'est un forum super complet pour les speedtouch

Le Fri, 28 Jan 2005 16:35:36 +0100 , dans son impérissable
Re: dyndns et modem-routeur speedtouch
Nicolas Roudninski Nicolas Roudninski <nroudninski@wanadoo.fr> écrivait
:

Pascal@plouf a écrit :
| Salut,
|
| manioul a écrit :
| >
| >Si tu ne veux que l'accès à ton serveur web, je ne vois pas

pourquoi il

| >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs,

une

| >très mauvaise idée, en terme de sécurité...
|
| Tout à fait d'accord.
|
| >Il me semble que le nat du port 80 devrait suffire et pour des

raisons

| >de sécurité, tu définis au contraire une ip qui n'existe pas sur

ton

| >réseau, comme serveur par défaut
|
| Ce n'est pas la première fois que je lis cette recommandation qui me

| laisse perplexe. N'est-il pas possible de carrément désactiver le
| serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| serait encore plus sûr : le risque d'affecter un jour par

inadvertance

| l'adresse defserver (qu'on aura oubliée) à une nouvelle machine

n'est

| pas nul...
Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
Donc, si j'ai bien compris, il faut :
1/ rediriger les requêtes externes de l'ip publique vers une autre ip
que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
celle du modem 10.0.0.138)
2/ faire écouter le modem sur un autre port que le 80.

J'ai bon jusqu'ici ?

Problème : je ne sais faire aucune de ces manips; Quelqu'un
connaitrait-il la marche à suivre (simple car je ne suis vraiment pas

un

spécialiste des réseau ni de la sécurité informatique)

En tout cas merci pour vos réponses.

--
Prédire n'est pas expliquer.
-+- Réne Thom -+-
---------------------------------------
Sebastien PICARD
IUT Belfort-Montbeliard
Technicien de Recherche
et Formation

Sebastien.Picard@iut-bm.univ-fcomte.fr
Tel : (+33) 3 84 58 77 79
Fax : (+33) 3 84 58 77 81
---------------------------------------

manioul

28/01/2005 à 20:50

--=-0lwvpG1HXp7834nAotxt
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le mardi 25 janvier 2005 à 13:07 +0100, a écrit :

Salut,

manioul a écrit :
>
> Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquo i il
> faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
> très mauvaise idée, en terme de sécurité...

Tout à fait d'accord.

> Il me semble que le nat du port 80 devrait suffire et pour des raisons
> de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
> réseau, comme serveur par défaut

Ce n'est pas la première fois que je lis cette recommandation qui me
laisse perplexe. N'est-il pas possible de carrément désactiver le
serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ?

Je ne connais pas le st501, j'en étais resté au speedtouch home modifi é
en pro qui (pour les firmware que j'ai utilisé) n'avait pas cette option
explicitement. Cela dit si l'on ne définit pas de defserver, peut-etre
que l'on arrive à ce résultat; ne sachant pas très bien ce qui se pas se
dans ce cas (il faudrait scanner), j'ai toujours mis un defserver -> ip
inexistante du lan.

Ce
serait encore plus sûr : le risque d'affecter un jour par inadvertance
l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
pas nul...

post-it au coin de l'écran, à défaut de mieux! ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-0lwvpG1HXp7834nAotxt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+pdjcsdrgK9aigMRAvfuAJ9XtiRW5rVdxiqkvbyBwPP+UzqqkwCePSVd
DFqyv+ECFuCqKGHcTzkNNh8 =JjqH
-----END PGP SIGNATURE-----

--=-0lwvpG1HXp7834nAotxt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-0lwvpG1HXp7834nAotxt
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le mardi 25 janvier 2005 à 13:07 +0100, Pascal@plouf a écrit :

Salut,

manioul a écrit :
>
> Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquo i il
> faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
> très mauvaise idée, en terme de sécurité...

Tout à fait d'accord.

> Il me semble que le nat du port 80 devrait suffire et pour des raisons
> de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
> réseau, comme serveur par défaut

Ce n'est pas la première fois que je lis cette recommandation qui me
laisse perplexe. N'est-il pas possible de carrément désactiver le
serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ?

Je ne connais pas le st501, j'en étais resté au speedtouch home modifi é
en pro qui (pour les firmware que j'ai utilisé) n'avait pas cette option
explicitement. Cela dit si l'on ne définit pas de defserver, peut-etre
que l'on arrive à ce résultat; ne sachant pas très bien ce qui se pas se
dans ce cas (il faudrait scanner), j'ai toujours mis un defserver -> ip
inexistante du lan.

Ce
serait encore plus sûr : le risque d'affecter un jour par inadvertance
l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
pas nul...

post-it au coin de l'écran, à défaut de mieux! ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-0lwvpG1HXp7834nAotxt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+pdjcsdrgK9aigMRAvfuAJ9XtiRW5rVdxiqkvbyBwPP+UzqqkwCePSVd
DFqyv+ECFuCqKGHcTzkNNh8 =JjqH
-----END PGP SIGNATURE-----

--=-0lwvpG1HXp7834nAotxt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--=-0lwvpG1HXp7834nAotxt
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le mardi 25 janvier 2005 à 13:07 +0100, a écrit :

Salut,

manioul a écrit :
>
> Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquo i il
> faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
> très mauvaise idée, en terme de sécurité...

Tout à fait d'accord.

> Il me semble que le nat du port 80 devrait suffire et pour des raisons
> de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
> réseau, comme serveur par défaut

Ce n'est pas la première fois que je lis cette recommandation qui me
laisse perplexe. N'est-il pas possible de carrément désactiver le
serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ?

Je ne connais pas le st501, j'en étais resté au speedtouch home modifi é
en pro qui (pour les firmware que j'ai utilisé) n'avait pas cette option
explicitement. Cela dit si l'on ne définit pas de defserver, peut-etre
que l'on arrive à ce résultat; ne sachant pas très bien ce qui se pas se
dans ce cas (il faudrait scanner), j'ai toujours mis un defserver -> ip
inexistante du lan.

Ce
serait encore plus sûr : le risque d'affecter un jour par inadvertance
l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
pas nul...

post-it au coin de l'écran, à défaut de mieux! ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-0lwvpG1HXp7834nAotxt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+pdjcsdrgK9aigMRAvfuAJ9XtiRW5rVdxiqkvbyBwPP+UzqqkwCePSVd
DFqyv+ECFuCqKGHcTzkNNh8 =JjqH
-----END PGP SIGNATURE-----

--=-0lwvpG1HXp7834nAotxt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

manioul

28/01/2005 à 21:50

--=-Rq18WHlbIlzQJt434IQH
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :

a écrit :
| Salut,
|
| manioul a écrit :
| >
| >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourqu oi il
| >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| >très mauvaise idée, en terme de sécurité...
|
| Tout à fait d'accord.
|
| >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| >réseau, comme serveur par défaut
|
| Ce n'est pas la première fois que je lis cette recommandation qui me
| laisse perplexe. N'est-il pas possible de carrément désactiver le
| serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| serait encore plus sûr : le risque d'affecter un jour par inadvertanc e
| l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'e st
| pas nul...
Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
Donc, si j'ai bien compris, il faut :
1/ rediriger les requêtes externes de l'ip publique vers une autre ip
que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
celle du modem 10.0.0.138)

^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
as un routeur entre le modem-routeur et ton serveur web? :o Parce
qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

2/ faire écouter le modem sur un autre port que le 80.

Un exemple sera p-e plus parlant:

- ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
fonctionner avec une ip 192.168.0.1)
- ton modem a deux ip:
une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
modem va recevoir la requete sur son port 80:
Si il est _volontairement_ configuré pour répondre, c'est lui qui
renverra la page au client et ton LAN n'aura pas connaissance de cette
requete.
(Si il répond et qu'il n'a pas _expressément_ été configuré pou r,
c'est qu'il y a un bug de sécurité du firmware)

Ce que tu veux, c'est que ce genre de requetes soient servies par ton
serveur 10.0.0.1 .
Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
serveur web (10.0.0.1:80).
Ainsi, la requete va suivre le cheminement suivant:
1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
puisque c'est là qu'est sa page de configuration (10.0.0.138:80)

Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
les requetes depuis l'extérieur.

J'espère avoir un peu éclairci...

J'ai bon jusqu'ici ?

euh... la réponse est ci-dessus ;)

Problème : je ne sais faire aucune de ces manips; Quelqu'un
connaitrait-il la marche à suivre (simple car je ne suis vraiment pas u n
spécialiste des réseau ni de la sécurité informatique)

Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
plus mes notes...), mais Sébastien Picard t'a fourni une excellente
adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
forum.
Bon courage.

En tout cas merci pour vos réponses.

np

--
Nicolas Roudninski

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-Rq18WHlbIlzQJt434IQH
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+qRocsdrgK9aigMRAg9lAJoDBrjgY8YCQy+sdoqKscN9ZklSkgCeN9ji
xh/BtI4e0LWMW75vtQ1p92s =enBr
-----END PGP SIGNATURE-----

--=-Rq18WHlbIlzQJt434IQH--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-Rq18WHlbIlzQJt434IQH
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :

Pascal@plouf a écrit :
| Salut,
|
| manioul a écrit :
| >
| >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourqu oi il
| >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| >très mauvaise idée, en terme de sécurité...
|
| Tout à fait d'accord.
|
| >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| >réseau, comme serveur par défaut
|
| Ce n'est pas la première fois que je lis cette recommandation qui me
| laisse perplexe. N'est-il pas possible de carrément désactiver le
| serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| serait encore plus sûr : le risque d'affecter un jour par inadvertanc e
| l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'e st
| pas nul...
Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
Donc, si j'ai bien compris, il faut :
1/ rediriger les requêtes externes de l'ip publique vers une autre ip
que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
celle du modem 10.0.0.138)

^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
as un routeur entre le modem-routeur et ton serveur web? :o Parce
qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

2/ faire écouter le modem sur un autre port que le 80.

Un exemple sera p-e plus parlant:

- ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
fonctionner avec une ip 192.168.0.1)
- ton modem a deux ip:
une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
modem va recevoir la requete sur son port 80:
Si il est _volontairement_ configuré pour répondre, c'est lui qui
renverra la page au client et ton LAN n'aura pas connaissance de cette
requete.
(Si il répond et qu'il n'a pas _expressément_ été configuré pou r,
c'est qu'il y a un bug de sécurité du firmware)

Ce que tu veux, c'est que ce genre de requetes soient servies par ton
serveur 10.0.0.1 .
Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
serveur web (10.0.0.1:80).
Ainsi, la requete va suivre le cheminement suivant:
1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
puisque c'est là qu'est sa page de configuration (10.0.0.138:80)

Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
les requetes depuis l'extérieur.

J'espère avoir un peu éclairci...

J'ai bon jusqu'ici ?

euh... la réponse est ci-dessus ;)

Problème : je ne sais faire aucune de ces manips; Quelqu'un
connaitrait-il la marche à suivre (simple car je ne suis vraiment pas u n
spécialiste des réseau ni de la sécurité informatique)

Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
plus mes notes...), mais Sébastien Picard t'a fourni une excellente
adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
forum.
Bon courage.

En tout cas merci pour vos réponses.

np

--
Nicolas Roudninski
nroudninski@wanadoo.fr

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-Rq18WHlbIlzQJt434IQH
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+qRocsdrgK9aigMRAg9lAJoDBrjgY8YCQy+sdoqKscN9ZklSkgCeN9ji
xh/BtI4e0LWMW75vtQ1p92s =enBr
-----END PGP SIGNATURE-----

--=-Rq18WHlbIlzQJt434IQH--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--=-Rq18WHlbIlzQJt434IQH
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :

a écrit :
| Salut,
|
| manioul a écrit :
| >
| >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourqu oi il
| >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| >très mauvaise idée, en terme de sécurité...
|
| Tout à fait d'accord.
|
| >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| >réseau, comme serveur par défaut
|
| Ce n'est pas la première fois que je lis cette recommandation qui me
| laisse perplexe. N'est-il pas possible de carrément désactiver le
| serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| serait encore plus sûr : le risque d'affecter un jour par inadvertanc e
| l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'e st
| pas nul...
Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
Donc, si j'ai bien compris, il faut :
1/ rediriger les requêtes externes de l'ip publique vers une autre ip
que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
celle du modem 10.0.0.138)

^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
as un routeur entre le modem-routeur et ton serveur web? :o Parce
qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

2/ faire écouter le modem sur un autre port que le 80.

Un exemple sera p-e plus parlant:

- ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
fonctionner avec une ip 192.168.0.1)
- ton modem a deux ip:
une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
modem va recevoir la requete sur son port 80:
Si il est _volontairement_ configuré pour répondre, c'est lui qui
renverra la page au client et ton LAN n'aura pas connaissance de cette
requete.
(Si il répond et qu'il n'a pas _expressément_ été configuré pou r,
c'est qu'il y a un bug de sécurité du firmware)

Ce que tu veux, c'est que ce genre de requetes soient servies par ton
serveur 10.0.0.1 .
Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
serveur web (10.0.0.1:80).
Ainsi, la requete va suivre le cheminement suivant:
1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
puisque c'est là qu'est sa page de configuration (10.0.0.138:80)

Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
les requetes depuis l'extérieur.

J'espère avoir un peu éclairci...

J'ai bon jusqu'ici ?

euh... la réponse est ci-dessus ;)

Problème : je ne sais faire aucune de ces manips; Quelqu'un
connaitrait-il la marche à suivre (simple car je ne suis vraiment pas u n
spécialiste des réseau ni de la sécurité informatique)

Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
plus mes notes...), mais Sébastien Picard t'a fourni une excellente
adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
forum.
Bon courage.

En tout cas merci pour vos réponses.

np

--
Nicolas Roudninski

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-Rq18WHlbIlzQJt434IQH
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB+qRocsdrgK9aigMRAg9lAJoDBrjgY8YCQy+sdoqKscN9ZklSkgCeN9ji
xh/BtI4e0LWMW75vtQ1p92s =enBr
-----END PGP SIGNATURE-----

--=-Rq18WHlbIlzQJt434IQH--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Nicolas Roudninski

29/01/2005 à 14:40

manioul a écrit :
| Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :
| > a écrit :
| > | Salut,
| > |
| > | manioul a écrit :
| > | >
| > | >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquoi il
| > | >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| > | >très mauvaise idée, en terme de sécurité...
| > |
| > | Tout à fait d'accord.
| > |
| > | >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| > | >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| > | >réseau, comme serveur par défaut
| > |
| > | Ce n'est pas la première fois que je lis cette recommandation qui me
| > | laisse perplexe. N'est-il pas possible de carrément désactiver le
| > | serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| > | serait encore plus sûr : le risque d'affecter un jour par inadvertance
| > | l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
| > | pas nul...
| > Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
| > Donc, si j'ai bien compris, il faut :
| > 1/ rediriger les requêtes externes de l'ip publique vers une autre ip
| > que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
| > celle du modem 10.0.0.138)
| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

Un petit dessin ?

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.
Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé par
vos remarques et suggestions.

| > 2/ faire écouter le modem sur un autre port que le 80.
| Un exemple sera p-e plus parlant:
|
| - ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
| d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
| fonctionner avec une ip 192.168.0.1)

Pourquoi ? Bon, il fonctione très bien en local...

| - ton modem a deux ip:
| une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
| une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

J'usque là ok.

|
| Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
| modem va recevoir la requete sur son port 80:
| Si il est _volontairement_ configuré pour répondre, c'est lui qui
| renverra la page au client et ton LAN n'aura pas connaissance de cette
| requete.
| (Si il répond et qu'il n'a pas _expressément_ été configuré pour,
| c'est qu'il y a un bug de sécurité du firmware)
|
| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...
au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu'il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.
Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

| >
| > J'ai bon jusqu'ici ?
| euh... la réponse est ci-dessus ;)
| >
| > Problème : je ne sais faire aucune de ces manips; Quelqu'un
| > connaitrait-il la marche à suivre (simple car je ne suis vraiment pas un
| > spécialiste des réseau ni de la sécurité informatique)
|
| Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
| plus mes notes...), mais Sébastien Picard t'a fourni une excellente
| adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
| forum.
| Bon courage.

Merci bien

--
Nicolas Roudninski

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

manioul a écrit :
| Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :
| > Pascal@plouf a écrit :
| > | Salut,
| > |
| > | manioul a écrit :
| > | >
| > | >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquoi il
| > | >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| > | >très mauvaise idée, en terme de sécurité...
| > |
| > | Tout à fait d'accord.
| > |
| > | >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| > | >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| > | >réseau, comme serveur par défaut
| > |
| > | Ce n'est pas la première fois que je lis cette recommandation qui me
| > | laisse perplexe. N'est-il pas possible de carrément désactiver le
| > | serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| > | serait encore plus sûr : le risque d'affecter un jour par inadvertance
| > | l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
| > | pas nul...
| > Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
| > Donc, si j'ai bien compris, il faut :
| > 1/ rediriger les requêtes externes de l'ip publique vers une autre ip
| > que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
| > celle du modem 10.0.0.138)
| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

Un petit dessin ?

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.
Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé par
vos remarques et suggestions.

| > 2/ faire écouter le modem sur un autre port que le 80.
| Un exemple sera p-e plus parlant:
|
| - ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
| d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
| fonctionner avec une ip 192.168.0.1)

Pourquoi ? Bon, il fonctione très bien en local...

| - ton modem a deux ip:
| une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
| une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

J'usque là ok.

|
| Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
| modem va recevoir la requete sur son port 80:
| Si il est _volontairement_ configuré pour répondre, c'est lui qui
| renverra la page au client et ton LAN n'aura pas connaissance de cette
| requete.
| (Si il répond et qu'il n'a pas _expressément_ été configuré pour,
| c'est qu'il y a un bug de sécurité du firmware)
|
| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...
au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu'il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.
Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

| >
| > J'ai bon jusqu'ici ?
| euh... la réponse est ci-dessus ;)
| >
| > Problème : je ne sais faire aucune de ces manips; Quelqu'un
| > connaitrait-il la marche à suivre (simple car je ne suis vraiment pas un
| > spécialiste des réseau ni de la sécurité informatique)
|
| Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
| plus mes notes...), mais Sébastien Picard t'a fourni une excellente
| adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
| forum.
| Bon courage.

Merci bien

--
Nicolas Roudninski
nroudninski@wanadoo.fr

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

manioul a écrit :
| Le vendredi 28 janvier 2005 à 16:35 +0100, Nicolas Roudninski a écrit :
| > a écrit :
| > | Salut,
| > |
| > | manioul a écrit :
| > | >
| > | >Si tu ne veux que l'accès à ton serveur web, je ne vois pas pourquoi il
| > | >faudrait mettre le serveur local en "défaut"; c'est d'ailleurs, une
| > | >très mauvaise idée, en terme de sécurité...
| > |
| > | Tout à fait d'accord.
| > |
| > | >Il me semble que le nat du port 80 devrait suffire et pour des raisons
| > | >de sécurité, tu définis au contraire une ip qui n'existe pas sur ton
| > | >réseau, comme serveur par défaut
| > |
| > | Ce n'est pas la première fois que je lis cette recommandation qui me
| > | laisse perplexe. N'est-il pas possible de carrément désactiver le
| > | serveur par défaut (ou defserver, DMZ...) sur ce modem-routeur ? Ce
| > | serait encore plus sûr : le risque d'affecter un jour par inadvertance
| > | l'adresse defserver (qu'on aura oubliée) à une nouvelle machine n'est
| > | pas nul...
| > Ok, la config du modem indique qu'aucun serveur par défaut n'existe.
| > Donc, si j'ai bien compris, il faut :
| > 1/ rediriger les requêtes externes de l'ip publique vers une autre ip
| > que celle du modem (l'ip du serveur web est 192.168.0.1 dans mon cas,
| > celle du modem 10.0.0.138)
| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... Tu
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

Un petit dessin ?

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.
Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé par
vos remarques et suggestions.

| > 2/ faire écouter le modem sur un autre port que le 80.
| Un exemple sera p-e plus parlant:
|
| - ton serveur web a pour ip 10.0.0.1 (ben oui, vérifie, mais à moins
| d'avoir un routeur entre ton modem et le serveur, ton serveur ne peut
| fonctionner avec une ip 192.168.0.1)

Pourquoi ? Bon, il fonctione très bien en local...

| - ton modem a deux ip:
| une ip 'publique', c'est l'adresse coté internet, disons 1.2.3.4
| une ip 'privé', c'est l'adresse coté LAN 10.0.0.138

J'usque là ok.

|
| Lorsqu'un client de l'extérieur de ton LAN demande http://1.2.3.4 , ton
| modem va recevoir la requete sur son port 80:
| Si il est _volontairement_ configuré pour répondre, c'est lui qui
| renverra la page au client et ton LAN n'aura pas connaissance de cette
| requete.
| (Si il répond et qu'il n'a pas _expressément_ été configuré pour,
| c'est qu'il y a un bug de sécurité du firmware)
|
| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...
au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu'il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.
Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

| >
| > J'ai bon jusqu'ici ?
| euh... la réponse est ci-dessus ;)
| >
| > Problème : je ne sais faire aucune de ces manips; Quelqu'un
| > connaitrait-il la marche à suivre (simple car je ne suis vraiment pas un
| > spécialiste des réseau ni de la sécurité informatique)
|
| Pour les commandes exactes, je ne les ai plus en tete (et je ne retrouve
| plus mes notes...), mais Sébastien Picard t'a fourni une excellente
| adresse. Tu trouveras tout ce dont tu as besoin et beaucoup plus, sur ce
| forum.
| Bon courage.

Merci bien

--
Nicolas Roudninski

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Nicolas Roudninski

29/01/2005 à 14:50

Sebastien PICARD a écrit :
|
| salut,
|
| essaie de regarder sur forpage.com
|
| c'est un forum super complet pour les speedtouch

Je m'en vais voir ça de ce pas. Merci

--
Nicolas Roudninski

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

manioul

30/01/2005 à 00:30

--=-ayCmcMgeYZYzter+OiG/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le samedi 29 janvier 2005 à 14:38 +0100, Nicolas Roudninski a écrit :
[...]

| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... T u
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

ok

Un petit dessin ?

Yes plz! :p

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.

Nettement plus clair: je ne savais pas que ton serveur avait 2 eth...

Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé p ar
vos remarques et suggestions.

Que le serveur web soit également routeur, ce n'est pas une merveilleuse
idée, mais on va dire que tu ne possèdes pas les plans d'une bombe A, n i
les projets des futures invasions US :/ , donc on peut se contenter
d'une sécurité un peu... relachée.
A part cela, je dirais qu'a priori tout va bien.
Ton serveur web répond effectivement sur 192.168.0.1 (vu le log), mais
il est fort probable qu'il écoute aussi sur 10.0.0.1 (tant mieux, compte
tenu de ce que tu veux!)
[...]

| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...

Ben finalement, si! Mais il faut qu'il réponde aussi sur 10.0.0.1

au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

A priori aucune; une configuration par défaut devrait faire écouter sur
_les_2_ adresses. Et oui! Ton serveur répond sur 192.168.0.1 (LAN), mais
il répond aussi surement sur 10.0.0.1 (mais ca, tu ne peux pas le voir
depuis le lan).
L'(es)ip sur le(s)quelle(s) écoute le serveur est(sont) définie(s) avec
la directive 'listen'. Un grep 'listen' /etc/apache2/*.conf devrait te
répondre. Si aucune ip n'est définie, le serveur écoute par défaut sur
toutes les ip. (donc si le grep te donne qqch comme 'listen 80', ton
serveur écoute sur toutes les interfaces)
Normalement, tu n'as pas besoin de modifier ta config apache. (on verra
après si vraiment ca ne marche pas!)

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu' il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.

(Que tu n'arrives pas à te connecter sur le modem depuis l'extérieur es t
une très bonne chose; je suis mm plus qu'étonné que tu aies pu le fai re
jusqu'ici!! Pour info, ca veut dire que n'importe qui pouvait modifier
la configuration de ton modem depuis internet! Ah oui, j'oubliais le mot
de passe! humpf! :D)
Il me semble que la redirection de ports ne se fait pas par l'interface
web, mais que tu doives passer par un telnet (toujours par référence au
speedtouch pro qui est relativement proche du st501, mais le 501 ayant,
je crois + de mémoire, et le nat étant dans le firmware d'origine, il
est possible que la manip puisse se faire en web...)
Quelles manip as-tu fait exactement?
Normalement, ca se passe dans la section NAT.
En telnet-tant:
$telnet 10.0.0.138
>nat
>help
ou qqch dans le genre

Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

1 bock qu'il écoute aussi sur 10.0.0.1 ;)
#netstat -antp
te donnera définitivement la réponse, si tu regardes si qq1 écoute su r
le port 80(http) ou 443(https) de l'interface 10.0.0.1

| >
| > J'ai bon jusqu'ici ?

Maintenant beaucoup plus ;)
[...]

| Bon courage.

Merci bien

Allez, encore un petit effort!

--
Nicolas Roudninski

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-ayCmcMgeYZYzter+OiG/
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB/BwbcsdrgK9aigMRAt0vAJ0fsQyac1jjrzYzaBZkvkYL3kGp4ACgjKh0
drXjZet8L3pGJXYEbMHeCR4 =Girf
-----END PGP SIGNATURE-----

--=-ayCmcMgeYZYzter+OiG/--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-ayCmcMgeYZYzter+OiG/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le samedi 29 janvier 2005 à 14:38 +0100, Nicolas Roudninski a écrit :
[...]

| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... T u
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

ok

Un petit dessin ?

Yes plz! :p

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.

Nettement plus clair: je ne savais pas que ton serveur avait 2 eth...

Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé p ar
vos remarques et suggestions.

Que le serveur web soit également routeur, ce n'est pas une merveilleuse
idée, mais on va dire que tu ne possèdes pas les plans d'une bombe A, n i
les projets des futures invasions US :/ , donc on peut se contenter
d'une sécurité un peu... relachée.
A part cela, je dirais qu'a priori tout va bien.
Ton serveur web répond effectivement sur 192.168.0.1 (vu le log), mais
il est fort probable qu'il écoute aussi sur 10.0.0.1 (tant mieux, compte
tenu de ce que tu veux!)
[...]

| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...

Ben finalement, si! Mais il faut qu'il réponde aussi sur 10.0.0.1

au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

A priori aucune; une configuration par défaut devrait faire écouter sur
_les_2_ adresses. Et oui! Ton serveur répond sur 192.168.0.1 (LAN), mais
il répond aussi surement sur 10.0.0.1 (mais ca, tu ne peux pas le voir
depuis le lan).
L'(es)ip sur le(s)quelle(s) écoute le serveur est(sont) définie(s) avec
la directive 'listen'. Un grep 'listen' /etc/apache2/*.conf devrait te
répondre. Si aucune ip n'est définie, le serveur écoute par défaut sur
toutes les ip. (donc si le grep te donne qqch comme 'listen 80', ton
serveur écoute sur toutes les interfaces)
Normalement, tu n'as pas besoin de modifier ta config apache. (on verra
après si vraiment ca ne marche pas!)

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu' il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.

(Que tu n'arrives pas à te connecter sur le modem depuis l'extérieur es t
une très bonne chose; je suis mm plus qu'étonné que tu aies pu le fai re
jusqu'ici!! Pour info, ca veut dire que n'importe qui pouvait modifier
la configuration de ton modem depuis internet! Ah oui, j'oubliais le mot
de passe! humpf! :D)
Il me semble que la redirection de ports ne se fait pas par l'interface
web, mais que tu doives passer par un telnet (toujours par référence au
speedtouch pro qui est relativement proche du st501, mais le 501 ayant,
je crois + de mémoire, et le nat étant dans le firmware d'origine, il
est possible que la manip puisse se faire en web...)
Quelles manip as-tu fait exactement?
Normalement, ca se passe dans la section NAT.
En telnet-tant:
$telnet 10.0.0.138
>nat
>help
ou qqch dans le genre

Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

1 bock qu'il écoute aussi sur 10.0.0.1 ;)
#netstat -antp
te donnera définitivement la réponse, si tu regardes si qq1 écoute su r
le port 80(http) ou 443(https) de l'interface 10.0.0.1

| >
| > J'ai bon jusqu'ici ?

Maintenant beaucoup plus ;)
[...]

| Bon courage.

Merci bien

Allez, encore un petit effort!

--
Nicolas Roudninski
nroudninski@wanadoo.fr

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-ayCmcMgeYZYzter+OiG/
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB/BwbcsdrgK9aigMRAt0vAJ0fsQyac1jjrzYzaBZkvkYL3kGp4ACgjKh0
drXjZet8L3pGJXYEbMHeCR4 =Girf
-----END PGP SIGNATURE-----

--=-ayCmcMgeYZYzter+OiG/--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--=-ayCmcMgeYZYzter+OiG/
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le samedi 29 janvier 2005 à 14:38 +0100, Nicolas Roudninski a écrit :
[...]

| ^^ Tu es sur de tes adresses? Elles ne sont pas sur le mm réseau... T u
| as un routeur entre le modem-routeur et ton serveur web? :o Parce
| qu'autrement, ton modem et ton serveur ne peuvent pas se voir...
| Je crois plutot que l'ip de ton serveur web est du style 10.x.y.z

Non, non. le serveur web (apache2) tourne bien sur 192.168.0.1 . du
moins d'après les logs de /var/log/apache2/access.log :

192.168.0.1 - - [29/Jan/2005:14:20:25 +0100] "GET /favicon.ico HTTP/1.1"
404 374 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.5)
Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)"

ok

Un petit dessin ?

Yes plz! :p

---------eth0 (static : 192.168.0.1) <---------> switch <------> Autres PC
| |
| SERVEUR |
| | ---------------
---------eth1 (dhcp : 10.0.0.1) <--------------> | modem-routeur |
| 10.0.0.138 |
---------------
J'espère que c'est suffisamment clair.

Nettement plus clair: je ne savais pas que ton serveur avait 2 eth...

Donc qu'est-ce qui ne vas pas dans cette config ? Je suis intéressé p ar
vos remarques et suggestions.

Que le serveur web soit également routeur, ce n'est pas une merveilleuse
idée, mais on va dire que tu ne possèdes pas les plans d'une bombe A, n i
les projets des futures invasions US :/ , donc on peut se contenter
d'une sécurité un peu... relachée.
A part cela, je dirais qu'a priori tout va bien.
Ton serveur web répond effectivement sur 192.168.0.1 (vu le log), mais
il est fort probable qu'il écoute aussi sur 10.0.0.1 (tant mieux, compte
tenu de ce que tu veux!)
[...]

| Ce que tu veux, c'est que ce genre de requetes soient servies par ton
| serveur 10.0.0.1 .

Oui, puisqu'il semble impossible que le serveur soit en 192.168.0.1...

Ben finalement, si! Mais il faut qu'il réponde aussi sur 10.0.0.1

au fait : quelle option d'apache dois-je modifier pour que le serveur
web tourne sur 10.0.0.1 ?

A priori aucune; une configuration par défaut devrait faire écouter sur
_les_2_ adresses. Et oui! Ton serveur répond sur 192.168.0.1 (LAN), mais
il répond aussi surement sur 10.0.0.1 (mais ca, tu ne peux pas le voir
depuis le lan).
L'(es)ip sur le(s)quelle(s) écoute le serveur est(sont) définie(s) avec
la directive 'listen'. Un grep 'listen' /etc/apache2/*.conf devrait te
répondre. Si aucune ip n'est définie, le serveur écoute par défaut sur
toutes les ip. (donc si le grep te donne qqch comme 'listen 80', ton
serveur écoute sur toutes les interfaces)
Normalement, tu n'as pas besoin de modifier ta config apache. (on verra
après si vraiment ca ne marche pas!)

| Donc tu vas rediriger le port 80 du modem (entend 1.2.3.4:80) vers ton
| serveur web (10.0.0.1:80).
| Ainsi, la requete va suivre le cheminement suivant:
| 1.2.3.4:80 --> 10.0.0.138:? --> 10.0.0.1:80

Là tout est clair.

| Il n'empeche que coté lan, ton modem écoutera toujours sur le port 80
| puisque c'est là qu'est sa page de configuration (10.0.0.138:80)
|
| Je crois que ce qui t'embrouille un peu, c'est le fait que le modem ait
| 2 ip? Ce que tu vas rediriger, ce sont les ports de l'ip publique, donc
| les requetes depuis l'extérieur.
|
| J'espère avoir un peu éclairci...

Tu m'as énormément éclairci ! Je t'en remercie. J'avais compris qu' il
fallait rediriger des requêtes. Le problème c'est que, quand je pense
avoir correctement fait les manips via les pages web du modem, je
n'arrive même plus à me connecter de l'extérieur sur le modem ou le
serveur web.

(Que tu n'arrives pas à te connecter sur le modem depuis l'extérieur es t
une très bonne chose; je suis mm plus qu'étonné que tu aies pu le fai re
jusqu'ici!! Pour info, ca veut dire que n'importe qui pouvait modifier
la configuration de ton modem depuis internet! Ah oui, j'oubliais le mot
de passe! humpf! :D)
Il me semble que la redirection de ports ne se fait pas par l'interface
web, mais que tu doives passer par un telnet (toujours par référence au
speedtouch pro qui est relativement proche du st501, mais le 501 ayant,
je crois + de mémoire, et le nat étant dans le firmware d'origine, il
est possible que la manip puisse se faire en web...)
Quelles manip as-tu fait exactement?
Normalement, ca se passe dans la section NAT.
En telnet-tant:
$telnet 10.0.0.138
>nat
>help
ou qqch dans le genre

Peut-être est-ce donc du au fait que le apache écoute sur l'ip
192.168.0.1 ?

1 bock qu'il écoute aussi sur 10.0.0.1 ;)
#netstat -antp
te donnera définitivement la réponse, si tu regardes si qq1 écoute su r
le port 80(http) ou 443(https) de l'interface 10.0.0.1

| >
| > J'ai bon jusqu'ici ?

Maintenant beaucoup plus ;)
[...]

| Bon courage.

Merci bien

Allez, encore un petit effort!

--
Nicolas Roudninski

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-ayCmcMgeYZYzter+OiG/
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB/BwbcsdrgK9aigMRAt0vAJ0fsQyac1jjrzYzaBZkvkYL3kGp4ACgjKh0
drXjZet8L3pGJXYEbMHeCR4 =Girf
-----END PGP SIGNATURE-----

--=-ayCmcMgeYZYzter+OiG/--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

dyndns et modem-routeur speedtouch

6 réponses

Veuillez sélectionner un problème