OVH Community, votre nouvel espace communautaire.

Redirection DynHost OVH vers IP avec numero de port


cassiopee
08/01/2013, 00h51
Citation Envoyé par fritz2cat
1) C'est pour les pôôôv clients de telenet qui ont aussi les ports < 1024 bloqués.
Biiiip "Ne répond pas à la question posée"

(on est bien d'accord que si le port 80 entrant est bloqué, il n'y a pas vraiment
d'autre solution que la redirection et ce malgré ses inconvénients)

2) C'est pour éviter que le NAS ne subisse toutes les attaques qui scannent le port 80 , genre:
/w00tw00t.at.ISC.SANS.DFind: ça c'est inoffensif

hop on devient agressif:

/wp-login.php?action=..%2F..%2F..%2F..%2F..%2F..%2F..% 2Fetc%2Fpasswd

/phpinfo/%f8%80%80%80%ae%f8%80%80%80 ... %80%ae%f8%80%80%80%ae/etc/passwd

/?author=..%2F..%2F..%2F..%2F..%2F..%2F..% ... 2Fntuser.dat.LOG
Mais redirection ou pas, le serveur web du NAS sera scanné.

Si un script de scan envoie "GET /wp-login.php?action=..%2F..%2F..%2F..%2F..%2F..%2F..% 2Fetc%2Fpasswd"
vers "www.domaine.be", que le serveur NAS réponde directement
ou que ça aille au mutu, réponse 302 puis envoi au serveur NAS,
dans les deux cas la demande va arriver au serveur web du NAS.
(et s'il est faillible ...)

Si ton intrus rentre dans ton NAS: tes comptes, tes dossier, tes photos de famille, ...
On est bien d'accord là dessus mais qu'il y ait redirection ou pas, de ce point de vue,
ce sera exactement pareil.

A partir du moment où le site web du NAS est accessible, que ce soit
directement sur le port 80 ou indirectement via la redirection, s'il y a une faille,
elle sera tôt ou tard exploitée.

fritz2cat
08/01/2013, 00h01
1) C'est pour les pôôôv clients de telenet qui ont aussi les ports < 1024 bloqués.

2) C'est pour éviter que le NAS ne subisse toutes les attaques qui scannent le port 80 , genre:
/w00tw00t.at.ISC.SANS.DFind: ça c'est inoffensif

hop on devient agressif:

/wp-login.php?action=..%2F..%2F..%2F..%2F..%2F..%2F..% 2Fetc%2Fpasswd

/phpinfo/%f8%80%80%80%ae%f8%80%80%80 ... %80%ae%f8%80%80%80%ae/etc/passwd

/?author=..%2F..%2F..%2F..%2F..%2F..%2F..% ... 2Fntuser.dat.LOG

Si ton intrus rentre dans ton NAS: tes comptes, tes dossier, tes photos de famille, ...

cassiopee
07/01/2013, 23h42
La redirection n'est indispensable que si le port 80 est définitivement verrouillé mais
ici ce n'est pas le cas.

Par ailleurs la redirection entraine une double connexion systématique (d'abord sur la page
du mutu puis vers le vrai site web dans le NAS) ce qui ralentit la connexion au site web
pour les internautes (déjà que si c'est en ADSL avec 1 Mb/s en upload,
ça ne va pas être très véloce)

Et à partir du moment où le site web du NAS est accessible, que ce soit directement
ou indirectement, la sécurité à mettre en place à son niveau est exactement la même.

fritz2cat
07/01/2013, 21h06
À partir d'une page de ton mutu www.example.be tu fais une redirection 302 via php ou .htaccess , vers http://dyn.example.be:12345

Pour les redirections gratte un peu le forum, ce sujet revient non stop.

Frédéric

cassiopee
07/01/2013, 20h21
ll est possible d'ouvrir le NAS sur le port 80 (cf le lien supra), simplement il faut faire normalement attention
à ce que l'on met en ligne, comme pour n'importe quel site web.

Tout dépend aussi de ce qu'il y a dans le NAS, contenus personnels ou simple site web par exemple.

svergeylen
07/01/2013, 19h41
Merci à vous 2 pour les réponses rapides et sympas.

Je comprends qu'ouvrir le port 80 peut être une menace, mais je ne vois alors pas comment on peut combiner les deux souhaits suivants avec OVH :
- maintenir le port 80 bloqué comme précédemment (sécurité)
- rediriger un domaine tel que http://sous-domaine.mondomaine.com sur mon serveur local (sans spécifier de port tel que 45000)

Car, si j'ai bien compris, l'utilisation de http://sous-domaine.mondomaine.com dans un browser utilise implicitement le port 80 et d'une part, ce port est bloqué pour la sécurité et d'autre part, il n'est pas possible avec un dynhost OVH de spécifier un port différent...

Comment faut-il que je procède alors pour rediriger www.mondomaine.com vers mon serveur local alors ? Il me semble avoir un serpent qui se mord la queue ;-)

fritz2cat
07/01/2013, 16h07
Bonjour la Belgique

Je déconseille quand même de mettre son NAS (Qnap ou Synology par ex.) en accès direct sur le port 80 vers l'extérieur. Ca représente un risque non négligeable de voir toute sa vie privée exposée sur l'Internet, ou effacée, au cas où une vulnérabilité dans le web service du NAS serait exploitée.

L'idéal étant de n'utiliser que des sessions SSL, et éventuellement sur un autre port que 443 pour ne pas être touché par les outils de scanning.

Je plussoie: DynHost (que ce soit DynDNS, NoIP ou autre) ne permet pas de rediriger vers un port spécifique. Pour rediriger vers une adresse et un port, il faut un webserver, par exemple une page sur un mutu, même un start1m ou un mailplan gratuits.

Frédéric
Bxl

cassiopee
07/01/2013, 12h32
Citation Envoyé par svergeylen
Merci pour votre réponse.

Je pense avoir trouver une solution que j'explique en dessous pour mon cas.

Je propose néanmoins qu'OVH puisse offrir la possibilité supplémentaire de nommer un numéro de port qui soit différent du 80 dans la déclaration d'un dynhost.
Au risque de me répéter, ce n'est techniquement pas faisable. Un service de DNS,
dynamique ou pas, ne s'occupe pas de gérer des ports, quels qu'ils soient.

Ce n'est pas du tout spécifique à OVH.

Cela permettrait aux personnes dont le provider bloque le port 80 de faire une redirection sur mon_ip:mon_port et donca voir une plus grande flexibilité. Pourriez-vous transmettre cette demande au développement svp ?
Sauf mention expresse, nous sommes ici entre clients d'OVH, je ne peux donc
transmettre quoique ce soit

"Les ports entrants 80, 443 et 23 sont ouverts."
Voilà, donc dans ce contexte, c'est bien plus simple : il suffit d'ouvrir le port 80
au niveau de la Box (et du FAI) et de faire suivre ensuite, toujours sur le port 80,
vers le NAS. Plus besoin d'utiliser le port 45000.

Un exemple de documentation : http://on4hu.be/DDNS.odt

svergeylen
07/01/2013, 12h06
Merci pour votre réponse.

Je pense avoir trouver une solution que j'explique en dessous pour mon cas.

Je propose néanmoins qu'OVH puisse offrir la possibilité supplémentaire de nommer un numéro de port qui soit différent du 80 dans la déclaration d'un dynhost.

Cela permettrait aux personnes dont le provider bloque le port 80 de faire une redirection sur mon_ip:mon_port et donca voir une plus grande flexibilité. Pourriez-vous transmettre cette demande au développement svp ?

Dans mon cas, la solution passe par l'ouverture du port 80 chez mon provider

---> Belgacom avec un bbox 2 :

Dans les e-services en ligne, chercher la page relative à sa configuration internet, puis dans : "profil technique", il y a 2 options dont celles qui nous intéresse :

Profil technique
--> Basic =
"Les ports entrants 80, 443 et 23 sont ouverts."
Belgacom vous conseille de choisir le profil technique "Basic" uniquement si vous êtes un utilisateur expérimenté et vous savez pourquoi vous voulez ouvrir ces ports.
En cochant ceci, en complément des termes de mon contrat, je déclare :
- avoir été avisé et mis en garde par Belgacom contre les risques encourus en laissant ce(s) port(s) ouvert(s),
- avoir été informé des produits alternatifs plus appropriés et plus sécurisés à mes besoins offerts par Belgacom,
- avoir demandé expressément à Belgacom d'ouvrir les ports et en assumer l'entière responsabilité.



Désolé pour le post dans le mauvais forum. N'hésitez pas à déplacer...

cassiopee
07/01/2013, 10h30
Le port ne fait pas partie du nom.

Le système DynHost ne fait qu'associer une adresse IP (changeante) avec un nom (constant).

Si ton nom de domaine est "domaine.be", alors tu pourras te connecter via l'adresse "http://www.domaine.be:45000"

Mais si ton FAI bloque les connexions entrantes sur le port 80, tu ne pourras pas utiliser
une adresse courte telle que "http://www.domaine.be".

A la limite en placant quelque part sur Internet une page correspondant à "www.domaine.be"
et en y faisant une redirection vers le port 45000 de ton PC mais bon, c'est très moche
(une redirection à chaque page web demandée).

PS : accessoirement, tu n'es pas du tout au bon endroit dans le forum
Ici c'est une partie "HOW-TO", un endroit où l'on dépose des tutos tout faits,
pas un endroit pour discuter de problèmes.

svergeylen
07/01/2013, 09h53
Bonjour,

J'héberge un site web sur un mini-pc (Sheeva plug) à la maison.

La mise à jour de l'adresse IP routable fonctionne grâce au script ipcheck.py expliqué dans le guide http://guides.ovh.com/DynDns

J'ai besoin d'accéder à mon serveur maison en ajoutant un port à l'adresse IP, car mon provider internet bloque les ports 80, 8080, etc... Je voudrais donc utiliser le port 45000

Si vous tapez http://109.129.243.3:45000/ cela marche :-)

Mais avec le Dynhost OVH, seule l'adresse IP est mise à jour. Je ne vois pas comment on peut ajouter :45000 après l'adresse IP dans le champ Dynhost !

Comment pourrais-je procéder ? Merci !