Discussion :

[yakalelo57]

Bonjour,

Je me permets de vous contacter car j'ai perdu le restant de mes cheveux aujourd'hui en tentant de bricoler un de mes serveurs web de test (et j'en ai déjà pas beaucoup ^^).

Le contexte de la demande :
- j'ai une application hébergée sous apache 2.4.53 (sous windows) qui est joignable depuis internet (flux IP publique naté en interne sur une IP privée). URL example : https://monserveur.mondomaine.net/
- on me demande pour ce site de n'ouvrir finalement en accès depuis internet qu'une seule URL bien spécifique de ce serveur (https://monserveur.mondomaine.net/index.php/tic/tac)
- l'intégralité du site web sera accessible uniquement en LAN sauf l'url ci-dessus

Ce que j'ai tenté comme approche :
- ajouter une seconde IP privée à mon serveur web
- ajouter une second virtual host dans ma config apache (1 pour l'IP en place jusqu'ici et l'autre avec la nouvelle adresse IP)
- les 2 virtual host configurés pointent sur le même servername
- je mets en place ma règle de NAT vers la nouvelle IP et tout fonctionne bien jusqu'ici (sauf que mes 2 accès, l'un LAN et l'autre WAN permettent encore l'accès à l'url racine https://monserveur.mondomaine.net/ )

viennent ensuite les tentatives infructueuses dans apache :
- la première idée était Redirect Permanent / https://monserveur.mondomaine.net/index.php/tic/tac -> erreur dans le navigateur web : too many redirects
- idem avec des tests autour du module rewrite

d'autres points sont certainement aussi à prendre en considération :
- le site racine appelle index.php par défaut qui se trouve dans c:\container\appli ; Les autres répertoires qui s'y trouvent ne sont pas accessible dans le navigateur via https://monserveur.mondomaine.net/repertoire -> accès refusé)
- un paramètre de sécurité est en place également dans apache pour vérifier que l'url monserveur.mondomaine.net soit utilisée et pas l'IP publique (vérification via instruction If basée sur SERVER_NAME)


J'ai essayé d'être le plus complet possible pour exposer la problématique et j'en appelle à l'aide d'experts pour m'aider à solutionner ce problème, quitte peut-être à changer d'approche
merci par avance pour votre aide

[mathieu]

est ce que se sont des utilisateurs différents qui accèdent au site depuis le réseau privé et depuis internet ?

[yakalelo57]

potentiellement ce peut être les mêmes utilisateurs.
l'idée est de sécuriser quasi tout le site pour restreindre fortement les accès depuis internet (accès à une seule URL du site)

[mathieu]

quand on bloque l'accès a des pages c'est une question de fonctionnalités différentes et pas de sécurité.
et si les fonctionnalités sont différentes, vous allez avoir un 1er site accessible uniquement sur le réseau local avec un 1er nom de domaine. et ensuite vous aurez le 2e nom de domaine accessible par internet.

et si vous mettez le même nom de domaine pour les 2 vous allez avoir un conflit au niveau du serveur dns du réseau local puisqu'il devra savoir s'il doit envoyer vers le site local ou sur le site publique. et je ne m'y connais pas assez en serveur dns pour savoir comment est résolu ce conflit.

[silfun1]

Bonjour,

Si les personnes de l'exterieur utilisent/passent par un Proxy Web différent des employés, alors, vous pouvez peut-etre utiliser cette spécificité.
Je pars du principe que la variable REMOTE_ADDR et CONN_REMOTE_ADDR = l'adresse ip du proxy web en frontal avec Internet. Dans l'exemple qui suit, on mettra 192.168.1.3
Donc si c'est adresse IP du proxy WEB qui interroge le serveur Web = on considére qu'il s'agit d'une personne exterieure.
!! Si vous utilisez un WAF ou autre élément réseau en amont, ça ne fonctionnera pas.

Exemple:
Si l'url demandé est monserveur.mondomaine.net + que l'URI n'est PAS "index.php/tic/tac" ET QUE l'adresse IP = le proxy WEB ==> Alors on considere on redirige vers https://monserveur.mondomaine.net/index.php/tic/tac

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteCond "%{HTTP_HOST}"   "^monserveur\.mondomaine\.net" [NC]
RewriteCond "%{REQUEST_URI}" "!^index.php/tic/tac"
RewriteCond "%REMOTE_ADDR" "192.168.1.3"
RewriteRule "^/?(.*)"       "https://monserveur.mondomaine.net/index.php/tic/tac" [L,R=301,NE]

Sinon,vous pouvez forcer l'ajout d'une entete HTTP dans les requetes HTTP qui arrivent depuis l'exterieur.
Exemple, ajouter l'entête HTTP EXTERNAL_REQ, avec la valeur 1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
SetEnvIf EXTERNAL_REQ 1 FROM_OUTSIDE
Header set HTTP_USER_AGENT "pas_bon" env=FROM_OUTSIDE
 
RewriteCond "%{HTTP_HOST}"   "^monserveur\.mondomaine\.net" [NC]
RewriteCond "%{REQUEST_URI}" "!^index.php/tic/tac"
RewriteCond "%HTTP_USER_AGENT" "pas_bon"
RewriteRule "^/?(.*)"       "https://monserveur.mondomaine.net/index.php/tic/tac" [L,R=301,NE]

Sil