Notre blog en mousse \o/ - Mot-clé - passerelle2024-03-01T10:31:54+01:00Les Lamas !urn:md5:16d806c26b4faf0eabfff608393c3d26DotclearReverse proxy Apache pour RDP over HTTPS (Windows Server 2008 R2)urn:md5:3c59e2ea95e24be30b2d72d2fba4e7d62016-07-25T18:16:00+02:002017-02-09T14:28:49+01:00RulianeAdministrationApachecertificatinstallationlinuxnatpasserelleproxyrdpreversesslwebwindows <p>Générer un certificat autosigné :<br /></p>
<blockquote><p>openssl req -newkey rsa:2048 -nodes -keyout myrdp.mydomain.key -x509 -days 365 -out myrdp.mydomain.crt<br /></p></blockquote>
<blockquote><p>openssl pkcs12 -inkey myrdp.mydomain.key -in myrdp.mydomain.crt -export -out myrdp.mydomain.pfx<br /></p></blockquote>
<p><br />
Importer le certificat dans le magasin "Personnel" du serveur RDS et désactiver tous les rôles sauf "Authentification du serveur".<br />
<br />
Installer le rôle "services de bureau à distance" avec les services de rôle "gestionnaire de passerelle"<br />
<br />
<br />
Config Apache :</p>
<pre>
<VirtualHost *:443>
ServerName myRDP.domain
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/myrdp.crt
SSLCertificateKeyFile /etc/apache2/ssl/myrdp.key
CustomLog ${APACHE_LOG_DIR}/myrdp.log combined
ErrorLog ${APACHE_LOG_DIR}/myrdp.log
#LogLevel info proxy_msrpc:trace2
SSLProxyEngine On
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
# Enable RPC over HTTPS
OutlookAnywherePassthrough On
#LogLevel info proxy_msrpc:trace2
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / https://RDPServer/
ProxyPassReverse / https://RDPServer/
</VirtualHost>
<VirtualHost *:80>
ServerName myrdp.domain
Redirect / "https://myrdp.domain/"
CustomLog ${APACHE_LOG_DIR}/myrdp.log combined
ErrorLog ${APACHE_LOG_DIR}/myrdp.log
</VirtualHost>
</pre>
<p>Issue : le certificat doit être reconnu comme CA sur le client.</p>Remplacer la Freebox par un modem Alcatel Speed Touch Homeurn:md5:382922b20e8777af4040900ad3a8b4212013-01-21T12:22:00+01:002013-01-21T12:24:51+01:00RulianeGeekerieadslalcatelfreefreeboxipoamodemnatpasserellerouteurréseauspeed touchsth <p>Comme avec le <a href="http://www.leslamas.net/index.php?post/2012/04/11/Remplacer-la-Freebox-par-un-routeur-Cisco-SOHO-97" hreflang="fr" title="Remplacer la Freebox par un routeur Cisco SOHO 97">SOHO97</a>, le but ici est de configurer un modem Alcatel Speed Touch Home (STH dans la suite) pour se connecter à une ligne dégroupée chez Free. Notons qu'il est nécessaire d'avoir passé le STH en Speed Touch Pro.<br />
<br />
Avant de commencer, il faut savoir que Free utilise de l'IPoA, c'est-à-dire où IP est encapsulé directement dans ATM. L'encapsulation utilisée est VC-MUX. Or, même si le STH support l'IPoA et le VC-MUX, il ne permet pas d'utiliser les deux à la fois. Heureusement, il existe une version patchée du firmware qui remédie à ce problème. Originalement posté sur Forpage, il est devenu difficile à trouver et il figure en pièce jointe de ce billet.<br />
Attention, deux remarques concernant ce firmware :<br />
- il s'adresse à la version K du STH, pas la version G ;<br />
- <strong>il fait disparaître le mode "EXPERT"</strong> du STH. Je recommande donc de conserver en passif une version qui autorise ce mode.<br />
<br />
La première étape consiste donc à envoyer le nouveau firmware. La manière la plus simple est de passer par l'interface web du modem (http://10.0.0.138/) ; si cela échoue, il reste la méthode du telnet/FTP.<br />
<br />
Ensuite, il faut configurer le VP/VC : sur la page "phonebook", supprimer le VP/VC 8/36 et le recréer de type "CIP".<br />
Puis, sur la page CIP, ajouter une interface avec l'adresse IP publique et un masque de 255.255.255.0. Ajouter une connexion CIP utilisant le canal (8/36) créé précédemment, avec comme destination l'adresse IP de la passerelle Free, généralement la dernière adresse du sous-réseau (x.x.x.254)<br />
Il convient ensuite d'ajouter la route suivante :<br />
Destination : 0.0.0.0/0<br />
Source : any<br />
Passerelle : <adresse_IP_passerelle><br />
Le NAT doit être configuré depuis telnet :</p>
<pre>
nat enable addr=<adresse_ip_publique> type=pat
</pre>
<p><br />
D'ailleurs, toute la configuration décrite précédemment est réalisable par telnet :</p>
<pre>
phonebook delete name=Br2
phonebook add name=cip1 addr=8*36 type=cip
cip ifadd addr=<addresse_IP_publique> netmask=255.255.255.0
cip pvcadd dest=8*36 destaddr=<adresse_IP_passerelle>
ip rtadd dst=0.0.0.0 gateway=<adresse_IP_passerelle>
</pre>Passerelle vers un réseau Torurn:md5:33fbf867df05622f8d52743c37d291242011-01-05T14:10:00+01:002011-01-15T23:35:07+01:00chauchreGeekerieanonymatiptablesnetfilterpasserelleproxytor <p>Le but de ce billet est de créer une passerelle qui sort directement sur le réseau Tor.<br />
A quoi cela peut bien servir ? Par exemple en changeant la route par défaut d'un client lui permettre d'être anonyme sur la toile (attention aux données sensibles qui transitent dans le réseau Tor tout de même), ou encore fournir une passerelle, potentiellement ouverte, vers internet sans être reconnu comme IP source des paquets sortants.<br />
<br />
<a href="http://www.torproject.org" hreflang="en">Tor</a> est un réseau d'ordinateurs (volontairement) zombies qui permet de faire du multi-proxy.</p>
<h4>Installer Tor</h4>
<p>La première étape est l'installation de Tor sur un serveur:<br />
<code># apt-get install tor</code><br />
... et ben voilà, première étape terminée ;)<br />
| Comme toujours, il est possible d'installer Tor à partir de ses <a href="http://www.torproject.org/dist/" hreflang="en">sources</a> afin d'avoir la dernière version:<br />
<code>$ wget http://www.torproject.org/dist/tor-0.2.1.28.tar.gz</code><br />
<code>$ tar xzf tor-0.2.1.28.tar.gz && rm tor-0.2.1.28.tar.gz</code><br />
<code>$ cd tor-0.2.1.28</code><br />
<code>$ ./configure</code><br />
<code>$ make</code><br />
<code>$ su -c 'make install'</code></p>
<p>|| Requirements:<br />
<code># apt-get install build-essential</code><br />
<code># apt-get install libevent-dev</code><br />
<code># apt-get install libssl-dev</code></p>
<h4>Configuration de Tor</h4>
<p>(Rappel: on ne souhaite pas dans ce billet configurer Tor comme relais, mais simplement comme point d'entrée dans le réseau Tor)<br />
<br />
Emplacement: <code>/etc/tor/torrc</code> ou <code>/urs/local/etc/tor/torrc<br /></code><br />
<code>RunAsDaemon 1<br /># Port et adresse d'écoute du démon Tor(relai)</code><br />
<code># ORPort 9001</code><br />
<code># ORListenAddress 127.0.0.1</code><br />
<code># Port et adresse d'écoute pour les requêtes DNS</code><br />
<code>DNSPort 53</code><br />
<code># Port et adresse d'écoute pour Tor en mode proxy transparent</code><br />
<code>TransPort 8118</code><br />
<code>TransListenAddress 0.0.0.0</code><br />
<br />
A présent, vous pouvez lancer Tor:<br />
<code># invoke-rc.d tor start</code><br />
ou<br />
<code># tor</code></p>
<h4>Configuration IP forward</h4>
Un simple<code> echo 1 > /proc/sys/net/ipv4/ip_forward</code> suffit, il est également possible d'éditer le fichier <code>/etc/sysctl.conf</code> afin d'activer l'IP forward systématiquement:<br /><code><br />net.ipv4.ip_forward=1</code><br /><h4>Configuration netfilter/iptables</h4>
<p>Afin de concentrer tout le trafic entrant vers le proxy transparent local, on configure quelques règles iptables simples:<br />
<code>iptables -F -t nat</code><br />
<code>iptables -F</code><br />
<code>iptables -X</code><br />
<code>## Règles locales</code><br />
<code>iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-ports 8118</code><br />
<code>iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53</code><br />
<code>## Règles extérieures</code><br />
<code>iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8118</code><br />
<code>iptables -t nat -A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53</code></p>
<p>Vous pouvez tester si le proxy fonctionne en local simplement en vous rendant sur www.whatismyip.org (et vérifier que ce n'est pas votre IP) ou:<br />
<code>$ GET whatismyip.org</code><br />
ou<br />
<code>$ w3m whatismyip.org</code><br />
Le même test est réalisable à partir d'un client extérieur après lui avoir modifié sa route par défaut.</p>
<h4>Configuration annexe</h4>
<p>Si vous voulez que l'ensemble du trafic d'un hôte passe systématiquement dans le réseau Tor, il suffit de configurer le serveur DHCP en rajoutant une entrée host. Par exemple pour dhcpd, on peut rajouter l'entrée suivante dans le fichier <code>/etc/dhcp3/dhcpd.conf</code><br />
<br />
<code>host monHote{</code><br />
<code> fixed-address A.B.C.D;</code><br />
<code> hardware ethernet XX:XX:XX:XX:XX:XX;</code><br />
<code> option routers {adresse IP du serveur Tor}</code><br />
<code>}</code></p>
<h5><strong>Mise à jour:</strong> Commande socat:</h5>
<code>socat -d -d TCP4-LISTEN:8118,fork,reuseaddr TCP4:<address_ip>:8118</code><br /><br />