Publication de sites web



  • bonjour et merci de vous penchez sur ma question.

    Actuellement nous utilisons un Serveur MS ISA 2006 pour gérer notre firewall/VPN/proxy.

    Il a été décidé de le Migrer sous PFsense pour gérer tout cela (je sent venir la remarque de Ccnet sur le multi-tache ;)).

    Mais j'ai un soucis, étant habitué à travailler avec ISA je ne retrouve pas mes petits sous PFfense. Autant publier un serveur (web, mail, etc) sous ISA est d'une simplicité déconcertante (merci les assistants à tout va) , autant j'avoue être bloqué sous PFsense.

    Nous possédons plusieurs serveur de prod' qui héberge eux même plusieurs site web. Avec ISA il était possible de lier l'URL des sites  (intra.site.dev, com.site.dev, …) à l'IP du serveur web concerné (ensuite apache se débrouille).
    Mais sous PFsense j'avoue ne pas vraiment savoir quels champs renseigner (Firewall: Aliases? Firewall: NAT?, ...)

    Ce qui me chagrine c'est que la solution doit être toute 'bête' en plus  :-[
    j'ai lu les tutoriels PFsense, mais la question n'est pas abordées me semble-t-il.

    ---freebox---
         ||
    ---PFsense---
         ||
    ---switch---
         ||
    ---LAN---

    LAN = users + serveurs (prod/locaux) , tous dans le même réseaux: 192.168.0.0/24.
    Il n'y a donc pas de DMZ pour les serveurs, tout est gérer par ISA concernant la publication.

    merci.



  • pfSense est un vrai firewall : il est dédié à cette fonction, il comporte ce qu'il faut pour faire cela.
    (Inutile de faire d'autres commentaires sur ISA …)

    Néanmoins, tout n'est pas possible avec pfSense seul, même si pfSense comporte des packages optionnels.

    Par exemple le dispatch du trafic http selon l'url n'est pas disponible (me semble-t-il).

    La logique sera de NATer le trafic http vers le principal serveur web (IIS I suppose).
    Et, au niveau de celui-ci, de faire les renvois utiles. Comme ISA s'appuie sur IIS, les réglages seront identiques.

    Il serait tout à fait possible d'installer un petit serveur Debian avec,

    • d'une part, un Apache avec le reverse-proxy dispatchant le trafic http selon l'url,
    • et d'autre part, un Squid (+squidGuard+blacklist+lightsquid) comme proxy pour le réseau local.

    C'est juste un peu plus long à mettre au point, mais c'est indestructible (en sus d'être instructif).



  • c'est bien ce qu'il me semblait, merci.

    Je vais 'limiter' PFsense au rôle qui est le sien, le Firewall. Concernant le reste je vais charger un autre serveur de s'occuper du reverse-proxy en redirigeant vers lui les requêtes 'web'.

    Merci :)

    Si vous avez des avis … je suis preneur



  • Pfsense en firewall avec une règle de publication port 80/443 TCP avec une gestion d'état de type synproxy pointant vers Apache en reverse proxy (apache + mod_proxy + mod_ssl + mod_rewrite + mod_security + deflate) et ca ira très bien.



  • merci,

    Par publication tu entends du PAT (Firewall: NAT: Port Forward)  en redirigeant les requêtes des ports 80 et 443 vers le serveur Apache ?
    Histoire d'être sure que l'on parle de la même chose  ;)



  • Tout dépend si ta DMZ est privée ou publique.
    [publique]
    Si les machines dans ta DMZ sont configurée en adressage publique (donc en mode routage) tu n'a qu'une chose à faire c'est créer la règle qui autorise l'accès en 80/443/TCP au serveur APACHE.
    Cela donne en résumé:
    pass TCP  from any 1024:65535 vers [SERVEURAPACHE] 80;443 synproxy state

    [privée]
    Si les machines de la DMZ sont en adressage privé tu auras deux actions à réaliser.
    La première c'est rediriger les ports puis la deuxième c'est créer la même règle que ci dessus.



  • il n'y a pas de DMZ dans notre réseau, nos serveurs sont en adressage privée.

    Par contre je ne comprend pas vraiment pourquoi tu utilises une telle plage de ports en source.

    merci de tes lumières :-X



  • 1. Vous aimez vivre dans dangereusement.

    2. Un navigateur qui se connecte un serveur, http ou https dans votre cas, le fait en utilisant des ports dits éphémères supérieurs à 1023 qu'il ouvre à la demande pour chaque session. Le transfert d'une page comportant par exemple des photos nécessite plusieurs session que la navigateur ouvrira successivement en utilisant par exemple les ports 1024,1025,1026, etc selon les besoins. Toutes ces sessions seront elles à destination du port 80 ou 443. Vous pouvez facilement visualiser cela en capturant les trames depuis votre machine cliente avec Wireshark par exemple.

    Une mise à niveau des connaissances de base s'impose.



  • je ne savais pas, merci.

    PS: je suis encore étudiant, des choses je n'ai pas fini d'en apprendre  :D



  • merci CCNET  ;D ;)


Log in to reply