Discussion :

[sananas]

Bonjour,

J'ai un site internet sur DMZ avec IP publique (linux, apache) et un site interne(AS400,zendcore,apache) avec une IP interne.

J'aimerai que certaine page du site sous linux ne soit accessible que s'il a été appellé par un lien du site interne...
Comment je dois m'y prendre pour qu'ils arrivent à s'échanger des données?

Etant 2 serveurs bien distincts je n'arrive pas à utiliser les sessions...
D'avance merci pour vos pistes...

[Benjamin Delespierre]

Soit tu mets en place un webservice qui va bien (SOAP, REST etc.) Soit tu vérifie le referer.

[grunk]

Le referer pouvant être modifié dans les entête HTTP il n'est à utiliser que si la protection de ces pages n'est pas critique (ca peut suffire si le but est de simplement les cacher à l'utilisateur extérieur, mais que leur découverte n'engendre pas de problème).

[Agnello Fabrice]

Bonjour,

aux deux réponses déjà apportées, il y a aussi la possibilité de filtrer l'accès à vos pages au travers d'un htaccess, en utilisant les directives Allow From <IP>. J'imagine qu'étant donné que vous ne voulez donner accès à ces pages qu'à partir de liens situés sur un intranet, les utilisateurs susceptibles d'y accéder sont internes à l'entreprise. Si les utilisateurs en question sortent par les mêmes tuyaux, l'IP reçue par Apache sera unique et vous pourrez la spécifier dans le Allow From. De la même façon si l'entreprise est sur plusieurs sites et que chaque site a sa propre connexion internet, il vous faudra énumérer toutes les IP de sortie.

ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1 127.0.0.2 ....

[sananas]

...

ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1 127.0.0.2 ....

J'y ai pensé, le problème et que le proxy oléane ne reconnait pas les IP interne quand les page sont en HTTP simple et que pour des raisons techniques je ne peux pas utiliser l'HTTPS. Du coup c'est IP du proxy qui est pris en compte à chaque fois...
Ça aurait été beaucoup si simple sinon...

[Agnello Fabrice]

qui est derrière ce proxy ? Vos utilisateurs ou le serveur ?

je me fourvois peut-être, mais si ce sont bien vos utilisateurs (au sens internes à l'entreprise du terme), comme je le pense, il suffirait que vous mettiez l'IP de votre proxy (qui est le tuyau de sortie) dans le allow from, sur votre serveur avec IP publique.

Il est bien entendu que le proxy doit avoir une IP fixe en sortie pour que cette proposition fonctionne.

[sananas]

qui est derrière ce proxy ? Vos utilisateurs ou le serveur ?

je me fourvois peut-être, mais si ce sont bien vos utilisateurs (au sens internes à l'entreprise du terme), comme je le pense, il suffirait que vous mettiez l'IP de votre proxy (qui est le tuyau de sortie) dans le allow from, sur votre serveur avec IP publique.

Il est bien entendu que le proxy doit avoir une IP fixe en sortie pour que cette proposition fonctionne.

Je suis pas sûr de bien tout comprendre...

Nous avons 2 proxy en fait... Proxy publique (Oléane qui effectue la redirection entre nom de domaine et IP publique...)
Et notre proxy interne sur lequel on peut intervenir, qui géré les échanges interne-externe de notre réseau..

Exemple de transit des données:

• PC Utilisateur -> Proxy Interne -> Proxy Oleane -> Site IP Publique

• PC Utilisateur -> Proxy Interne -> Site interne

• Site (http) IP Publique -> Proxy Oleane -> Proxy Interne -> PC Utilisateur (ip visible Proxy Oleane )

• Site (https) IP Publique -> Proxy Oleane -> Proxy Interne -> PC Utilisateur (ip visible Pc utilisateur )

[Agnello Fabrice]

Ok, et donc vis à vis de ces informations et de ce schéma, quelle est l'IP tracée par votre site (logs apache dans /var/log/apache2/access_log si linux) lorsque les utilisateurs de votre entreprise (PC utilisateur dans votre description) envoient des requetes HTTP au serveur ?

Je serais surpris si ce n'était pas l'IP de votre proxy interne (qui dans ce cas fonctionnera avec la proposition que je vous ai faite). S'il s'avérait que c'est l'IP du proxy Oleane, alors là, effectivement, vous ne pouvez pas vous appuyer sur cette proposition.

Excusez toutes ces interrogations, mais c'est la première fois que je rencontre cette configuration (avec un reverse proxy, j'entend). A la limite, j'ai déja travaillé avec des configurations en load-balancing, mais à chaque fois, l'IP du client était connue par le serveur, et c'est pourquoi, tout ceci me questionne.

Là encore, n'y voyez aucune offense, mais ne confondez vous pas ce que vous nommez proxy Oleane avec un simple serveur DNS ?

[sananas]

Là encore, n'y voyez aucune offense, mais ne confondez vous pas ce que vous nommez proxy Oleane avec un simple serveur DNS ?

Je ne suis qu'une petite développeuse, je n'ai pas toutes les ficelles des rouages réseaux... Donc pas d'offense, au contraire, j'en apprends tout les jours
Je suis une gourde! C'est pas de proxy, mais de firewall dont je parlais...
C'est l'IP du Firwall d'Oleane qui apparait... Donc oui, c'est bien lié à un serveur DNS.

Après vérifications dans les logs... en HTTP c'est l'IP du firewall Oléane qui apparait pour les connexions internes... En externe c'est bien l'IP externe...

Donc j'ai bloquer à l'IP du firwall d'Oleane dans la configuration apache, et ça marche
Merci!