Bonjour les gens !
J'ai une petite question par rapport aux proxy :
J'ai des serveurs web sur mon réseau, l'un dois être accessible de l'exterieur, mais pas les autres.
Par contre, il faut que je puisse accéder aux autres serveurs depuis le premier, en gros intégrer les autres serveurs dans le site web du premier. Mais seul le serveur web public dois pouvoir y accéder, pas l'exterieur.
Je pense qu'il faut que je fasse ça avec un proxy, mais comment ? Je ne connais pas du tout Squid.
Je me tourne vers Squid parcque je pensais mettre le proxy (il servira juste pour ça, le reste du réseau marchera sans proxy) sur le même serveur que le serveur web public, a savoir un solaris.
Mais je peux aussi prendre un serveur dédié, sous solaris, ou sous windows, et mettre un isa server 2006(que je maitrise mieux). Sans cout supplémentaires.
Dernière question, est-ce qu'avec un seul proxy je peux joindre plusieurs serveurs web différent en interne ?

Voila, je ne sais pas si je suis assez clair, merci !

Euh... t'es sûr que tu as besoin d'un proxy pour ça ?

Si tes serveurs sont sur le même réseau, tu dois facilement pouvoir accéder aux serveurs privés depuis le public...

Le truc, c'est que je ne veux pas que les requêtes arrivent directement de l'exterieur sur les serveurs web privés. Ca oblige a se connecter sur le serveur web public.

Le 27 mars 2007 - 14 h 18, Woofy a écrit : Le truc, c'est que je ne veux pas que les requêtes arrivent directement de l'exterieur sur les serveurs web privés. Ca oblige a se connecter sur le serveur web public.

et ?

Et comment faire pour qu'ils soient accessible de l'exterieur, sans faire passer les requête directement ? Proxy ?

Le 27 mars 2007 - 14 h 32, Woofy a écrit : Et comment faire pour qu'ils soient accessible de l'exterieur, sans faire passer les requête directement ?

Tu veux qu'ils soient accessibles de l'extérieur ou pas ? faudrait savoir !!

D'après ce que j'ai compris, tu as :
* un serveur public qui doit être accessible de l'extérieur
* sur le même réseau, des serveurs privés qui ne doivent être accessibles que depuis le serveur public.

Ben pas besoin de proxy : tu fais une DMZ, en routant toutes les connexions en provenance de l'extérieur sur ton serveur public, et le serveur public aura accès directement aux serveur privés...

En gros, je voulais pas dire de connerie parcque j'en étais pas sur, mais il me faut un reverse proxy !

d'apres ce que j'ai compris il veut mettre un serveur frontal et des serveurs "metiers" en gros

c'est ca ??

En gros oui. En fait, les applis métier sont moyennement sécurisées a mon gout et je veux obliger de loguer via le frontal pour mettre ça en plus (parcque là je pourrais avoir une vrai authentification forte).

donc effectivement c'est pas du proxy qu'il te faut

mais une conf speciale
j'ai plus ou moins aborde le sujet pendant mon certof de competence au cnam, c'etait dans l'UV des applications reparties.
par contre j'ai tout perdu depuis

Et un reverse proxy ça peux vraiment pas marcher ?

En fait, c'est vrai, maintenant que tu le dis non ça marche pas, ça reviens au même...
Mince je sais vraiment pas comment faire là ! :/
Un proxy web ?

Et si j'implante quelque chose comme PHProxy sur mon site web ? Le frontal il sera a programmer, par contre sur les autres je ne peux rien toucher. Il y a du java et de l'html.

Woofy, arrête la fixette sur les proxies, et rebosse la conf apache.
Tu as plusieurs moyens d'empêcher des connections sur une machine ou un pool de machines. Balli en a donné une. En vrac :
- une DMZ pour ton frontend
- des VLANs pour séparer les frontends et les backends
- des règles allow/deny sur les backends apache
- iptables en deny sur les backends
- htaccess en deny sur les backends

Et j'en oublie. Dans tous les cas, ca ne sert à rien de réinventer la roue ou de prendre un truc boiteux...

C'est pas pour empêcher de se loguer dessus, au contraire je veux qu'il soit accessible de l'exterieur, mais pas en direct, et uniquement si l'utilisateur est connecté sur le serveur web frontal.
Je ne peux pas toucher aux serveurs web privés.

J'ai tenté rapido PHProxy, avec leur démo mon site en Java ne passe pas (java, c'est mal ^^ oui ceci est un troll). Mais sinon ça serait exactement ça qu'il me faudrait !

Tes requirements sont pas clairs là. Tu veux qu'une certaine population de gens puisse accéder à tes serveurs privés, c'est ça, ou tout le monde ?

Si tu veux limiter l'accès, ben un VPN fait l'affaire.
Si c'est tout le monde, je vois foutrement pas l'interêt de la chose. Paye ta latence en rabe pour rien...

D'autant que je repense à un sacré trou de sécu. Si tu rejoues une requete depuis ton serveur frontal, et des hackers connaissent ton infra (facile), ben il leur suffirait de modifier le HTTP header qui va bien, et zou ils passent pour le frontal.

Là, sérieux, je vois vraiment pas où tu veux en venir. Tu as des applis legacy que tu veux pouvoir accéder, mais que d'une manière ? Ben va falloir :
- soit modifier les serveurs hébergeant l'appli legacy
- soit toucher à la configuration réseau des serveurs pour les empêcher d'être accédés.

Dans tous les cas, cela suppose que tu puisses modifier quoique ce soit sur les backends.

J'ai du mal a l'expliquer.
En gros, mes clients vont se connecter a un portail sécurisé, hébergé sur un serveur. Le web public.
J'ai les serveurs qui contiennent les consoles de management.
Je veux que mes clients, dans leur portail web, aient un accès a la console de management.
Seulement, je ne veux pas que l'accès a la console de management soit direct depuis l'exterieur, parcqu'il est en ce cas possible de se connecter sur un compte administrateur et foutre la merde.
Le fait de n'autoriser les requêtes entre les consoles et le portail permet de contrôler un peu. Le mot de passe est beaucoup plus dur a cracker. C'est pas non plus parfait, mais on fait comme on peux et ça limite déjà bien le tout.

Tu gères quels serveurs ? Le frontend et/ou les backends ?
C'est 'quoi' la console de management ?
Les 'consoles' disposent-elles d'une API ?

Faudrait qu'effectivement tu sois un peu plus explicite.
En tout cas, j'ai du mal à voir comment tu vas 'embarquer' la console dans ta page Web...

Je gère tout. Mais je ne touche pas au code des backend.
Je te file le détail des consoles en mp.
Pour l'API... je ne sais pas, je pense pas, de toute façon je vais pas redévelopper spécifiquement pour elles.

Bon finalement je vais contourner le problème en usant d'un VPN SSL avec authentification RSA. C'est presque ce que je veux, ca marche, faudra juste garder les modèles de test ! ^^.