Mettre en place un reverse proxy ?

[LolYangccool]

Bonjour,

Je vous explique rapidement la situation :
Je possède deux serveurs physiques.

Le premier :
Il s'agit de mon NAS qui me sert également pour différents services accessible via un navigateur (note station par exemple).

Le second :
Il s'agit d'un serveur rack qui sert d'hyperviseur avec tout un tas de VMs tournant dessus, ça va du serveur de jeu (MC, MCPE, Terraria etc...) au serveur web.
A chaque fois, je fais une VM/service ou serveur de jeu.

Et c'est là qu'est le soucis. Comme mon NAS sert des services sur les port 80/443 comme mon serveur web (la VM) et que je n'ai qu'une seul IP publique, je souhaite mettre en place un reverse proxy qui serait en frontal, et qui redirigerait donc les requêtes vers le bon serveur suivant le domaine ou sous-domaine demandé par l'utilisateur.
Sur le serveur web (VM), j'ai aussi plusieurs sites hébergé sur le même VPS via les virtuals hosts.
Il faut que ce soit prit en compte également.

En gros, et pour résumer, je souhaite arriver à quelques chose qui ressemblerait à ça :

J'ai déjà créé une VM et installé HAProxy dedans, mais je nage un peu...
Si quelqu'un a une idée.
J'avais aussi essayé avec Apache et son module mod_proxy, sans succès.

Modifié 7 octobre 2018 par LolYangccool

[Sethenès]

Je l'ai déjà mentionné, je ne m'y connais vraiment pas bien en réseau.

Essaie peut être de trouver un site spécialisé en réseau et pose-leur la question sur un forum. J'ai un peu cherché et la première référence parlait aussi de mod_proxy d'Apache.

Par contre, veille bien à ce que ton reverse proxy soit bien sécurisé lui aussi, car il va devenir le point d'entrée unique.

[Sethenès]

As-tu essayé la procédure renseignée ici : https://www.1and1.fr/digitalguide/serveur/know-how/quest-ce-quun-reverse-proxy-le-serveur-reverse-proxy/ ?

[LolYangccool]

Merci Sethenès, je teste ça demain si possible, parce que demain je vais essayer d'avancer sur le caisson ventilé pour y ranger mes serveurs/matériel réseau.

Modifié 7 octobre 2018 par LolYangccool

[LolYangccool]

Première commande du tuto :

...
Le paquet n'existe pas. ?

[LolYangccool]

J'ai réussis avec le proxy sur une première VM à rediriger les requêtes vers mon NAS. Le site est fonctionnel.
Maintenant je refais une autre VM Web1.

Ok, je passe en navigation privée et ça fonctionne plus. ?
Surement le cache.

Modifié 8 octobre 2018 par LolYangccool

[LolYangccool]

Bonjour,

C'est bon ! J'y suis arrivé, mais en utilisant le reverse proxy intégré à mon NAS.
Toutes les connexions sur les ports 80 et 443 arrivent donc sur le NAS qui redirige vers la bonne IP à l'intérieur de mon réseau.

[Sethenès]

J'espère que tu feras un article sur le sujet  

En plus ce qui me parait intéressant, c'est que tu délègues à Syno la gestion de la sécurité de l'OS le plus exposé.

[LolYangccool]

Oui je sais... A défaut d'avoir réussis à mettre en place le reverse proxy avec mod_proxy sur un Apache d'un VPS, j'ai dléégué ça à mon NAS par facilité.
Je sais que c'est pas génial niveau sécurité...

Modifié 18 octobre 2018 par LolYangccool

[LolYangccool]

Le 18/10/2018 à 15:31, LolYangccool a dit :

Oui je sais... A défaut d'avoir réussis à mettre en place le reverse proxy avec mod_proxy sur un Apache d'un VPS, j'ai délégué ça à mon NAS par facilité.
Je sais que c'est pas génial niveau sécurité...

 

[Sethenès]

Bah, je ne sais pas. Franchement, je ne me sens pas capable d'installer un serveur Linux qui serait directement exposé sur le web. Alors que j'ai quand même un bagage d'administration de petits serveurs Unix. Ca date, mais ça me donne quand même des bases et quelques réflexes en la matière. Je précise qu'il en est de même pour Windows. Je ne me sens pas capable de configurer un serveur Windows directement exposé à Internet.

Ca demande quand même pas mal de connaissances pour bien tout sécuriser et puis, par la suite, il faut se tenir informé de toutes les nouveautés en matière de sécurité. Evaluer la pertinence du patch, l'appliquer, etc.

La tu délègues à la firme Synology, la config du serveur, la veille technologique sur les réseaux et les mises à dispositions de patchs qui sont en plus testés. Enfin, en cas de souci, il y a aussi une communauté.

[LolYangccool]

Tu veux dire qu'en fait c'est pas une si mauvaise idée puisque Synology fait le travail à ma place ?

[Sethenès]

Oui, tout à fait.

Evidemment que le mettre le plus loin possible du web, ce serait mieux. Mais si c'est pour avoir une passoire Linux et exposer tout le réseau, c'est encore pire !

Même sans accès au web, nos serveurs étaient audités tous les 3 mois par la révision interne (unité installée à la maison mère) et les rapports d'intrusion étaient envoyés à la hiérarchie.

[LolYangccool]

Juste une idée comme ça. Prendre un seconds NAS pas cher, une baie, voir une occasion, qui ne servirait qu'en frontal de serveur reverse proxy, VPN etc... ?
En gros tous les services qui nécessitent un accès direct à internet et qui permettent d'accéder au réseau local de l'extérieur.
Ce qui permettrait de ne pas rendre mes données directement accessible tout en bénéficiant du travail de Synology en terme de sécurité ?

Je peux réutiliser un vieux disque dur donc il n'y aurai qu'un petit NAS à acheter et sur LBC on trouve des choses intéressantes aux alentours des 100€.
Voir récupérer mon ancien 212+ que j'avais donné aux parents et leur renouveler leur NAS, histoire qu'ils aient une machine plus récente (le 212+ va sur ses 7 ans, déjà !).

Modifié 20 octobre 2018 par LolYangccool

[Sethenès]

Oui, c'est une idée et en tout cas pour les 2-3 ans qui viennent (puisque le 212+ vient de recevoir en juin son dernier gros update et que le compte à rebours des 2 années de disponibilité des patchs sécurité commencera à la sortie de la prochaine version de DSM).

[LolYangccool]

Ok, il serait de toute façon tant que les parents renouvellent le NAS si je comprends bien, DSM 7.0 qui sera disponible en beta début 2019 ne devrait pas pouvoir être installé dessus.
Le 212+ suffit à mes parents, mais s'il faut changer leur NAS je sais pas trop quoi leur prendre.
En gros ils ne s'en servent que pour du stockage et de la centralisation de données.

Edit : Le DS218 est intéressant mais me parait au dessus de leurs besoins même si on regarde sur 4/5 ans.
https://www.synology.com/fr-fr/products/DS218#specs

Puis 315€ juste pour du stockage de documents ça me parait excessif pour des non-technophile pas plus intéressés que ça par l'informatique (voir pas du tout)...
(Ils ont déjà les disques durs, que je récupèrerai du 212+. Je leur avais fais un RAID1 de 2To effectif.)

Modifié 20 octobre 2018 par LolYangccool

[Sethenès]

Est-ce leur NAS est connecté à internet ?

Si ce n'est pas le cas, alors où est le risque ?

[LolYangccool]

Il l'est oui, mais n'est pas accessible de l'extérieur.
Il n'est connecté à internet que pour faire les mises à jour grosso-modo. D'ailleurs, comment coupe t'on l'accès internet uniquement, en laissant l'accès au réseau local actif ?

Le risque peu aussi venir du réseau local, pas que d'internet. Un PC infecté ou autre...

[Sethenès]

Donc, il n'est pas connecté, enfin pas plus que n'importe quel PC. Il ne va pas recevoir des requêtes en directe sur certains ports, directement redirigé par le firewall de tes parents.

Oui et non. S'il y a un PC infecté, il va bousiller les données (en utilisant les permissions d'accès aux dossiers partagés), il y a peu de chance que le PC tente de hacké un serveur.

Donc, franchement, ce NAS peut encore tenir des années (jusqu'à la panne hardware en fait). D'ailleurs, c'est le destin du 412+ qui me sert de backup car mon firewall ne redirige aucune requête vers cette machine.

Modifié 20 octobre 2018 par Sethenès

[LolYangccool]

D'accord, bonne nouvelle alors.

Là je vais revendre mon R210 II finalement, et me monter une config personnalisée.
Le rack j'aime beaucoup, mais en appart c'est chiant quand ça chauffe, ça émet trop de bruit.

Pour mon serveur je vais pas prendre de prroc Intel alors que je suis pas trop pour AMD, mais il faut avouer que les Ryzen sont sympa, du coup ça sera un Ryzen 5 2600 (6 coeurs/12 threads), qui sera plus puissant que le E3 de mon R210 II, largement d'ailleurs, et avec plus de threads, important pour la virtualisation.
16Go de DDR4 dans un premier temps.

Par contre je n'aurai qu'une seule carte réseau (intégré à la carte mère), je me demande si ça vaut le coup d'en ajouter une, sur le R210 II j'utilise les deux cartes réseau mais à voir si je peux faire avec une seule.