Utilisation de NAT pour serveur WEB

Si ça marche côté réseau local, c'est ton routeur qui est mal configuré. Vérifie que les ports adéquats sont ouverts, et que le fw se fait bien au niveau du NAT.
http://www.lalitte.com/nat

Bonne chance

C'est bizarre je vois pas ce qui cloche :( Tu as lu le cours que je t'ai filé pour voir si tu n'avais rien oublié ?

Oui j'ai regardé ton cours mais disons que j'ai deja donné ;).
Et puis c'est pas le premier routeur que je configure, d'habitude ca marche et sur des routeurs plus compliqué que celui ci, mais là il y a un truc que je saisi pas. J'irai pas jusqu'à dire que leur nat fonctionne pas, mais presque :)

:)

Salut,
Si tu lances un sniffer sur le poste qui sert de serveur WEB :
- est-ce qu'il recoit bien les demandes de connexion ?
- est-ce qu'il y répond ?
Respectes-tu les quelques règles principales du NAT :
- sur le serveur masqué par le NAT, la passerelle par défaut doit être le routeur
qui effectue le NAT
- sur le serveur masqué, le firewall doit autoriser et suivre les connections
provenant de n'importe quelle adresse IP
- sur le routeur NAT, il doit suivre et accepter les connections externes sur
le port concerné par le NAT et surtout accepter les réponses du serveur
masqué

Regardes avec un sniffer, perso j'utilise ethereal, supporté sur pas mal d'OS
dont Linux et Windows et c'est du GPL: http://www.ethereal.com/

A+, crabs ..., I think Slackware sounds better than 'Microsoft,'
-- Patrick Volkerding - founder and maintainer of Slackware

Donc j'ai fait des petits test et les réponses à tes questions sont:
- non il ne recoit pas les demande de connexion (g regardé ds les logs de apache)
- oui il répond mais uniquement sur le localhodt ou l'ip du serveur ( g fait binder mon serveur su le port 8080 sur les 2 ip)
- oui la passerelle par défaut est bien le routeur, normal car c le routeur qui fait dhcp)
- je n'ai pas de firewall sur le serveur web (désactvé)

Donc conclusion, c le firewall du routeur qui fait chier. Donc en sachant que mon serveur web à l'adresse ip 192.168.1.104, la passerelle 192.168.1.1, le web étant donc sur 127.0.0.1:8080 et 192.168.1.104:8080 j'ai configuré mon nat et mon routeur comme ceci :
- frewall au minimum
- Service Protocole Port externe Port interne Adresse IP
HTTP TCP 8080 8080 192.168.1.104

Donc je continue car j'ai posté sans faire expres.
Pour le firewall, étant donné que cela ne marche tjrs pas j'ai fait un réglage personnalisé , la configuration est la suivante :
Service Protocole Port d'origine Port de destination Adresse IP d'origine Adresse IP de destination Action Supprimer

Serv| Proto | Port origine | Port dest | IP d'origine | IP dest | Act@
DNS TCP any 42 any any ACCEPT
HTTPS TCP any 443 any any ACCEPT
FTP_DATA TCP any 20 any any ACCEPT
FTP TCP any 21 any any ACCEPT
Domain UDP any 53 any any ACCEPT
SMTP_TCP TCP any 25 any any ACCEPT
POP3_TCP TCP any 110 any any ACCEPT
POP3_UDP UDP any 110 any any ACCEPT
NNTP TCP any 119 any any ACCEPT
HTTP TCP 8080 8080 any any ACCEPT

Salut,
As-tu essayé un sniffer ?
Le log d'apache ne fonctionne qu'une fois la connexion TCP établie : apache
logue la requette qui ne peut passer qu'au travers de la socket de dialogue.
Hors il semble que c'est cette connexion qui ne s'établit pas, donc pas de
socket de dialogue...

Est-tu sur que ton routeur fait du nat depuis le réseau local ?
A+, crabs ..., I think Slackware sounds better than 'Microsoft,'
-- Patrick Volkerding - founder and maintainer of Slackware

Bon et bien je crois que je v installé ton sniffer car la j'avance pas.
Pour répondre à ta question, je pense qu'il fait du nat oui car l'interface d'admin web du routeur me le propose et elle fait encore mieux elle detecte l'ip du serveur pour pas que je me trompe ;).
Bon alors avec le sniffer je regarde les connerxion tcp sur le port 8080 c ca?b et meme sur les autres

Salut,
J'ai eu un routeur qui faisait du NAT/PAT mais uniquement quand les requètes
venaient du WAN. Il ne le faisait pour les connexions du LAN.

Tu lances le sniffer, et au niveau du réseau tu évites de faire trop de chose mis
à part ce que tu veux observer.
A+, crabs ..., I think Slackware sounds better than 'Microsoft,'
-- Patrick Volkerding - founder and maintainer of Slackware

C bizzare car je lances ethereal je le configure sur l'interface wifi, il l

C bizzare car je lances ethereal je le configure sur l'interface wifi, il la reconnais bien (192.168.1.104) et je lances la capture. Je fait une connexion web, sur l'ip concerné et je stop la capture. No data captured ;). Je comprend de moins en moins.
ps : aucun filtre n'est actif sur le soft et j'écoute tout les servives

Hello hello hello,

je viens de suivre votre discussion et en fait j'ai à peu près eu le même blème que toi.

si t'as qu'une seule connection intenet il est peut êtres normal que t'ais pas la liaison exterieur de ton site.

Je t'expliques.

Dans ton réseau t'as plusieurs machines qui sont connectées ensemble en réseau via un routeur qui lui même partage avec ces machines une connection internet.

ces machines communiquent en local entre elles via des adresses ip et des ports et font de même avec internet seulement, elles passent au niveau du routeur qui redispaches vers chaque machines.

en fait ton routeur est une passerelle.

mais une chose que tu a peut êtres pas compris c'est qu'une connection ou un reseau est comme un systme de tuyauteries.

ton serveur web distribue vers tes machines quands tu passes en local, ca c'est normal puisqu'il scrute les liaisons qui sont sur ton réseau. mais une autres chose c'est qu'il scrute les liaison extérieurs comme le net via ton routeur, c'est toujours normal.


mais un tuyau c'est que ton serveur web ne fait pas que scruter les liaisons il envoi sur la toile qu'il est présent et donc ton fai est informé par ton serveur quil tourne. ca c'est pas un problème.car c'est comme ca qu'il redirige les connections sur ton serveur. car liaaison entre ton serveur et la toile est totalement transparente est est seulement redirigée par ton routeur qui fait la laison entre la toile et ton serveur.


en fait tu dois imaginer ton réseau comme des tuyaux comme pour un réseau d'eau.

d'un coté t'as le réseau qui arrive de la centrale de distribution (ton fai) de l'autres t'as ton réseau qui distribue dans toute ta maison ( ton lan) entre les deux t'as ton routeur, qui lui distribue l'eau en fonction des robinets qui s'ouvrent (tes ordinateurs et ton serveur). mais en fait pour aller vers l'extérieur t'as une seule conduite ( ton wan ou t'as connection internet) et pour rentrer de l'extérieur vers ton réseau local c'est la même conduite.

donc en gros tu te complique la vie pour rien car si tu envoie une requette vers ton fai qui lui dit à peu prés ceci: envoie moi les pages qui se trouvent sur mon serveur chez moi et renvoie moi les sur ma machine. lui il comprends pas car il peut pas envoyer des données interne/externes via le même tuyaux. en fait vers une seule adresse ip internet.

si tu veux solutionner ton blême t'as une seule solution pour voir las pages de ton site tu laisse t'as connection adsl ouverte ensuite via un modem 56k tu ouvre via ton téléphone une connection.

ensuite tu tape l'adresse de ton site et tu verras comme par miracle ton site marchera noemalement.


petite astuce j'ai galèré pendant des mois avant de trouver et comprendre que je me gourais et que si je n'ouvrais pas une boucle de connection,mon sit je le verrais jamais de l'extérieur alors que mes potes y avaient accès.


En conclusion: si t'as un site web qui se distribue sur le net via un serveur que tu heberge toi même alosr ton fai ne peut pas distribuer des données venant d'un serveur connecté a une même adresse ip que le demandeur. En fait ca lui crée un bouchon. le moyen est de shunter ca en ouvrant une connection qui passe outre ton routeur mais qui via ta machine donne une deuxième liaison à l'extérieur de ton propre réseau.

Et pour terminer, tu peux remettre ton réseau à la normal et de mettre ton site sur le port 8080 et de faire toutes tes manips n'a servit à rien sinon de fragiliser la sécurité de ton réseau et je parle en connaissance de causes mes sites font régulièrement l'objet d'attaques; heureusement mon réseau est béton et je souhaite bien du plaisir aux hackeurs qui nous pourrissent la vie.

j'espère t'avoir aidé.