Discussion :

[Le Lapin Nesquik]

Bonjour,

Je souhaites accéder à distance à certains services web hébergés sur ma machine serveur (Apache). Lesdits services écoutent sur des ports différents or, depuis mon lieu de travail, je ne peux sortir que sur le port 80 :
J'ai accès à ma page d'accueil or, si je crée des liens vers http://mon_adresse:port_service1, le proxy m'empêche d'accéder au service en question (alors que si je fais écouter un des services sur le port 80 cela fonctionne parfaitement).

Ma question donc :
Peut-on, côté serveur, créer des "redirections" afin de toujours renvoyer les informations sur le port 80 alors qu'on interroge des services sur d'autres ports ?

(J'espère que je poste dans la bonne section, j'ai hésité un moment )

Merci d'avance !

[nouknouk]

Peut-on, côté serveur, créer des "redirections" afin de toujours renvoyer les informations sur le port 80 alors qu'on interroge des services sur d'autres ports ?

Non: une IP (un serveur) + un port (ici 80) = un seul service accessible.
Tu ne pourras pas faire tourner plusieurs serveurs écoutant sur le même port.

Mais si c'est dans le cadre de ton travail, l'admin réseau de ta boite devrait pouvoir te trouver une solution (t'ouvrir le ou les ports désirés pour ton poste uniquement et/ou pour connexion sortante vers ton serveur uniquement, etc...).

A noter qu'il n'y a pas que le port 80. Les proxys laissent en règle générale passer les flux sur le port 443 (prévu pour le HTTPS). Et là où ça pêche c'est qu'ils vérifient rarement leur contenu (partant du principe qu'il s'agit normalement de flux chiffrés).

Pour tests de sécurité, j'avais configuré le démon SSH d'un de mes petits serveurs pour qu'il écoute sur le port 443. Résultat: dans l'immense majorité des réseaux d'entreprise rencontrés, j'ai pu me connecter sans souci à mon serveur en SSH et j'aurais pu m'en servir par exemple pour faire du tunneling et 'sortir' du réseau initial sans aucune restriction.

ATTENTION: A ne faire cependant que pour des fins de tests (et encore). Ce genre de flux, même si on ne voit pas directement ce qui transite, est très facilement et très rapidement repérable car 'hors norme' comparé à un flux HTTPS classique (durée de connexion, quantité de données, répartition des données émises/reçues au cours du temps, ...).
Cela constitue une violation de la plupart des chartes d'utilisation des moyens informatiques (qu'on signe généralement en même temps que son contrat de travail). Ca peut d'ailleurs constituer un excellent prétexte pour se faire virer pour faute lourde (donc du jour au lendemain, sans préavis ni indemnités). Te voilà prévenu.

Plus généralement: si certaines restrictions de sécurité sont mises en places dans les réseaux, ce n'est pas uniquement pour faire joli ou juste pour empêcher l'utilisateur d'accéder à ce qu'il veut. C'est également pour assurer la protection de l'intranet de l'entreprise. Et les admins réseaux ont en général très peu d'humour face à ce genre de plaisanterie.

[Repti]

Bonjour,

A noter aussi que désormais de plus en plus de firewalls et de proxy font du decrypt SSL, et que beaucoup de composants IPS permettent effectivement de vérifier que le protocole véhiculé dans le tunnel SSL est bien du HTTP.

[Le Lapin Nesquik]

Bonjour et merci pour vos réponses !

Nouknouk merci pour les avertissements mais n'aie crainte je suis parfaitement conscient des règles et contraintes de sécurité dans l'entreprise et je ne souhaites pas les enfreindre !
La société dans laquelle je bosse fait confiance à ses ingénieurs et nous sommes peu restreints en terme de sites web, tant qu'on est efficace ils nous laissent surfer. Si je n'avais qu'un service à utiliser ça ne poserai pas de souci, je le mettrai sur le 80 et basta (en ne violant aucunes règles ) Mais j'en ai trois

Je ne suis pas sur d'avoir été clair dans ma question, je sais bien qu'à un couple IP/Port je ne peux avoir qu'un service.
Ce que je souhaites faire c'est des traitements/config du côté de mon serveur pour qu'il interroge les services et me retourne leurs résultats.
C'est possible ??

Sinon j'ai pensé mettre un autre Apache sur une machine virtuelle qui héberge les services et les interroger depuis le serveur physique...encore une fois je ne sais pas si c'est possible...

Merci de votre aide !