Discussion :

[eddst]

Bonjour à tous,

J'ai reçu un Raspberry Pi 3 pour Noel et je me suis mis en tête d'en faire un serveur web afin d'en apprendre un peu plus.

J'ai suivi un tutoriel et j'ai installé Apache2, Mysql, PhpMyAdmin. Jusque là, pas de problème majeur.

J'ai accès au serveur de n'importe quel machine en local, par contre pour avoir accès au serveur via le web ça ne fonctionne pas.

J'ai pourtant mis en place un DDNS (no-ip) et j'ai mis en place une redirection des ports sur mon router afin qu'il renvoi les requêtes HTTP sur le Raspberry.

J'ai cherché un peu partout, mon serveur apache est bien à l'écoute des ports 80 et 443.

J'ai retourné le problème dans tous les sens et je ne parviens pas à trouver la solution.

Voici quelques screenshots de la configuration.


Merci

[mathieu]

quel est le résultat quand vous essayez d'y accéder à partir d'internet ?

[eddst]

le serveur ne répond pas quand j'essaye d'accéder depuis internet.

[mathieu]

ah bin oui, j'aurais pu tester moi même au lieu de vous demander

je viens de tester et le domaine est bien associé à l'adresse IP de la capture d'écran, .....117.176. Est ce que cette adresse est encore la bonne en ce moment ?
la configuration que vous montrez a l'air correcte donc peut-être qu'il y a des autres réglages à faire au niveau du routeur. regardez les différentes pages qui commencent par "Filtrage ...".

une autre chose à faire est de tester l'adresse locale http://192.168.0.27

[eddst]

Au niveau du routeur, j'ai laissé les options par défauts.
Je suis uniquement intervenu dans la redirection via l'onglet "NAT" et la mise en place d'un DDNS.
Voici quelques screenshots de la configuration du routeur.


Concernant l'adresse 192.168.X.X, elle m'amène sur la page de base index.php peu importe l'appareil que j'utilise dans la maison.

J'ai également essayé de mettre en place une connexion SSH vers le server (Raspberry pi connecté en wifi),j'ai mis en place une redirection sur le routeur et j'y accède avec la commande "ssh pi@X.X.X.X".
Lorsque je suis connecté sur le réseau domicile je sais y accéder mais dés que j'essaye de l'extérieur, rien à faire, il me dit connexion time out.
Dés lors, j'ai l'impression que le problème doit venir de la redirection.

Merci pour l'aide en tout cas

[mathieu]

à tout hasard, sur la page "options", décochez la case "blocage wan" pour tester si cela change quelque chose.

[Inazo]

Bonjour,

Un conseil aussi avant de le laisser être accessible sur Internet il me parait judicieux d'installer fail2ban sinon tu vas vite avoir des soucis de sécurité. Et tu risques de compromettre tout ton réseaux privée dans ce cas.

Et l'actualité récente nous l'a prouvé avoir un phpMyAdmin sur un serveur web accessible par n'importe qui ce n'est pas une bonne idée à moins d'y être contraint (exemple mutualisé OVH ou autre)

@+

[eddst]

J'ai décoché le blocage WLAN et ça ne fonctionne toujours pas :s

Concernant la sécurité, je vais me renseigner mais je ne m'y connais pas très bien en réseau, je suis en apprentissage sur du développement web pour le moment.
Qu'est ce que vous me conseillez pour sécuriser le server?

[Inazo]

Dans un premier temps il faut utiliser des mots de passe fort pour se connecter en SSH etc.

Il faut aussi interdire l'accès distant à MySQL ce qui est le cas par défaut normalement. Tu dois aussi installer fail2ban qui va bloquer les attaques par brute force sur les connexion des différents service et surtout du SSH.

L'idéal c'est d'utiliser une clé pour te connecter à ton serveur avec un mot de passe en plus.

Il faut aussi limiter les services qui fonctionne sur le serveur, par exemple si tu es le seul à l'utiliser pas besoin de FTP tu pourras te connecter au serveur via SSH en SFTP sans soucis.

Changer le port par defaut de SSH pour autre chose que 22. Tu dois aussi le maintenir à jour avec les update sécurité (tu peux le faire en auto j'ai fait un billet la dessus).

Pour ma part, sauf si tu en as vraiment besoin, n'install pas phpMyAdmin, la ligne de commande c'est la vie

Et je pense que de ne pas le laisser fonctionner en permanence chez toi est une bonne idée.

Tu peux aussi mettre en place une configuration très strict sur le parefeu.

Pour revenir à ton soucis, est-ce que ton domaine en DDNS répond au ping depuis une autre connexion. Chose importante à savoir si tu essaye de te connecter à ton serveur qui est chez toi avec ta connexion qui est en DDNS cela ne fonctionne pas.

Essaye par exemple avec ton smartphone.

@+

[eddst]

Ok merci pour les infos sur la sécurité. Je suis en train d'apprendre le sql et j'avance bien, donc je devrais être capable de virer phpmyadmin bientôt.

Quand j'essaye de faire un ping sur le DDNS d'un réseau extérieur, rien ne passe.

[mathieu]

à partir de chez moi, j'obtiens quelque chose avec le ping :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
PING eddst.ddns.net (N.N.117.176) 56(84) bytes of data.
64 bytes from host-N-N-117-176.dynamic.voo.be (N.N.117.176): icmp_seq=1 ttl=52 time=32.6 ms
64 bytes from host-N-N-117-176.dynamic.voo.be (N.N.117.176): icmp_seq=2 ttl=52 time=31.9 ms
64 bytes from host-N-N-117-176.dynamic.voo.be (N.N.117.176): icmp_seq=3 ttl=52 time=32.0 ms
...

j'ai remplacé le début de l'adresse IP par des N, ça évitera peut-être des attaques.

j'ai aussi lancé nmap pour scanner les ports ouverts et j'ai eu comme résultat que tous les ports sont filtrés.

[eddst]

Bon on avance un peu, c'est bon signe.

Par contre, qu'est ce que tu veux dire par "mes ports sont filtrées"?


Pour récapituler :

En local, j'accède à la page index.php du server web en tapant : 127.0.0.1, 192.168.X.X, x.x.x.x
Via le web, le ping à l'air de fonctionner via eddst.ddns.net.

Je ne comprend pas bien a quoi correspond l'adresse 127.0.0.1, c'est le serveur apache2?
Ne devrais je pas faire une redirection également vers lui, pour approcher quelques chose du genre :

requête HTTP >X.X.X.X> redirection > 192.168.X.X (Raspberry) > 127.0.0.1 (serveur web?)?

[mathieu]

Par contre, qu'est ce que tu veux dire par "mes ports sont filtrées"?

quand nmap scanne des ports, il réponds "ouvert" ou "fermé" d'habitude. et quand il y a un pare-feu qui essaye de bloquer l'accès au port, nmap arrive parfois à le détecter et affiche "filtré". mais ensuite je ne sais pas ce que ça veut dire de plus donc ça donnera peut-être un indice à quelqu'un qui s'y connait mieux en réseaux que moi.

Je ne comprend pas bien a quoi correspond l'adresse 127.0.0.1

c'est une adresse IP spéciale qui fait référence à la machine d'où est lancé la requête et qui a souvent comme nom de domaine "localhost". cela est la même chose pour toute la plage d'adresse de 127.0.0.1 à 127.255.255.254.

ensuite sur le réseau local, l'ordinateur à pour adresse 192.168.0.27 donc cette information devrait suffire au routeur pour faire le lien.

essayez de trouvez de la documentation sur votre routeur, peut-être qu'il y a aura indiqué ce qu'il a faire en plus après avoir ouvert les port sur la page "NAT".

[eddst]

J'ai trouvé la solution!

Dans l'interface de configuration de mon routeur, dans la configuration NAT.
Dans le champ "Ip externe", j'ai remplacé l'adresse Ip publique par 0.0.0.0 et tout fonctionne parfaitement, même si je ne comprend pas trop pourquoi!

Au niveau de la sécurité, j'ai mis en place un SSH via mon ordi client et le server via un clé publique / privée. Je n'ai autorisé que les connections SSH via la paire de clés.
J'ai également mis en place le service Fair2ban que j'ai très légèrement modifié.

Y'a t il autre chose que je peux faire afin de sécuriser mon serveur et mon réseaux domicile?

Merci pour l'aide