Mot-clé - passerelle

Fil des billets - Fil des commentaires

lundi 25 juillet 2016

Reverse proxy Apache pour RDP over HTTPS (Windows Server 2008 R2)

Par Ruliane le lundi 25 juillet 2016, 18:16 - Administration

Générer un certificat autosigné :

openssl req -newkey rsa:2048 -nodes -keyout myrdp.mydomain.key -x509 -days 365 -out myrdp.mydomain.crt

openssl pkcs12 -inkey myrdp.mydomain.key -in myrdp.mydomain.crt -export -out myrdp.mydomain.pfx


Importer le certificat dans le magasin "Personnel" du serveur RDS et désactiver tous les rôles sauf "Authentification du serveur".

Installer le rôle "services de bureau à distance" avec les services de rôle "gestionnaire de passerelle"


Config Apache :

<VirtualHost *:443>
        ServerName myRDP.domain
        SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/myrdp.crt
        SSLCertificateKeyFile /etc/apache2/ssl/myrdp.key
        CustomLog ${APACHE_LOG_DIR}/myrdp.log combined
        ErrorLog ${APACHE_LOG_DIR}/myrdp.log
	#LogLevel info proxy_msrpc:trace2

	SSLProxyEngine On
	SSLProxyCheckPeerCN Off
	SSLProxyCheckPeerName Off
	# Enable RPC over HTTPS
	OutlookAnywherePassthrough On
	#LogLevel info proxy_msrpc:trace2
	
        ProxyRequests Off
        <Proxy *>
                Order deny,allow
                Allow from all
        </Proxy>
        ProxyPass / https://RDPServer/
        ProxyPassReverse / https://RDPServer/
</VirtualHost>

<VirtualHost *:80>
        ServerName myrdp.domain
        Redirect / "https://myrdp.domain/"
        CustomLog ${APACHE_LOG_DIR}/myrdp.log combined
        ErrorLog ${APACHE_LOG_DIR}/myrdp.log
</VirtualHost>

Issue : le certificat doit être reconnu comme CA sur le client.

aucun rétrolien

lundi 21 janvier 2013

Remplacer la Freebox par un modem Alcatel Speed Touch Home

Par Ruliane le lundi 21 janvier 2013, 12:22 - Geekerie

Comme avec le SOHO97, le but ici est de configurer un modem Alcatel Speed Touch Home (STH dans la suite) pour se connecter à une ligne dégroupée chez Free. Notons qu'il est nécessaire d'avoir passé le STH en Speed Touch Pro.

Avant de commencer, il faut savoir que Free utilise de l'IPoA, c'est-à-dire où IP est encapsulé directement dans ATM. L'encapsulation utilisée est VC-MUX. Or, même si le STH support l'IPoA et le VC-MUX, il ne permet pas d'utiliser les deux à la fois. Heureusement, il existe une version patchée du firmware qui remédie à ce problème. Originalement posté sur Forpage, il est devenu difficile à trouver et il figure en pièce jointe de ce billet.
Attention, deux remarques concernant ce firmware :
- il s'adresse à la version K du STH, pas la version G ;
- il fait disparaître le mode "EXPERT" du STH. Je recommande donc de conserver en passif une version qui autorise ce mode.

La première étape consiste donc à envoyer le nouveau firmware. La manière la plus simple est de passer par l'interface web du modem (http://10.0.0.138/) ; si cela échoue, il reste la méthode du telnet/FTP.

Ensuite, il faut configurer le VP/VC : sur la page "phonebook", supprimer le VP/VC 8/36 et le recréer de type "CIP".
Puis, sur la page CIP, ajouter une interface avec l'adresse IP publique et un masque de 255.255.255.0. Ajouter une connexion CIP utilisant le canal (8/36) créé précédemment, avec comme destination l'adresse IP de la passerelle Free, généralement la dernière adresse du sous-réseau (x.x.x.254)
Il convient ensuite d'ajouter la route suivante :
Destination : 0.0.0.0/0
Source : any
Passerelle : <adresse_IP_passerelle>
Le NAT doit être configuré depuis telnet :

nat enable addr=<adresse_ip_publique> type=pat


D'ailleurs, toute la configuration décrite précédemment est réalisable par telnet :

phonebook delete name=Br2
phonebook add name=cip1 addr=8*36 type=cip
cip ifadd addr=<addresse_IP_publique> netmask=255.255.255.0
cip pvcadd dest=8*36 destaddr=<adresse_IP_passerelle>
ip rtadd dst=0.0.0.0 gateway=<adresse_IP_passerelle>

aucun rétrolien une annexe

mercredi 5 janvier 2011

Passerelle vers un réseau Tor

Par chauchre le mercredi 5 janvier 2011, 14:10 - Geekerie

Le but de ce billet est de créer une passerelle qui sort directement sur le réseau Tor.
A quoi cela peut bien servir ? Par exemple en changeant la route par défaut d'un client lui permettre d'être anonyme sur la toile (attention aux données sensibles qui transitent dans le réseau Tor tout de même), ou encore fournir une passerelle, potentiellement ouverte, vers internet sans être reconnu comme IP source des paquets sortants.

Tor est un réseau d'ordinateurs (volontairement) zombies qui permet de faire du multi-proxy.

Installer Tor

La première étape est l'installation de Tor sur un serveur:
# apt-get install tor
... et ben voilà, première étape terminée ;)
| Comme toujours, il est possible d'installer Tor à partir de ses sources afin d'avoir la dernière version:
$ wget http://www.torproject.org/dist/tor-0.2.1.28.tar.gz
$ tar xzf tor-0.2.1.28.tar.gz && rm tor-0.2.1.28.tar.gz
$ cd tor-0.2.1.28
$ ./configure
$ make
$ su -c 'make install'

|| Requirements:
# apt-get install build-essential
# apt-get install libevent-dev
# apt-get install libssl-dev

Configuration de Tor

(Rappel: on ne souhaite pas dans ce billet configurer Tor comme relais, mais simplement comme point d'entrée dans le réseau Tor)

Emplacement: /etc/tor/torrc ou /urs/local/etc/tor/torrc

RunAsDaemon 1
# Port et adresse d'écoute du démon Tor(relai)
# ORPort 9001
# ORListenAddress 127.0.0.1
# Port et adresse d'écoute pour les requêtes DNS
DNSPort 53
# Port et adresse d'écoute pour Tor en mode proxy transparent
TransPort 8118
TransListenAddress 0.0.0.0

A présent, vous pouvez lancer Tor:
# invoke-rc.d tor start
ou
# tor

Configuration IP forward

Un simple echo 1 > /proc/sys/net/ipv4/ip_forward suffit, il est également possible d'éditer le fichier /etc/sysctl.conf afin d'activer l'IP forward systématiquement:

net.ipv4.ip_forward=1

Configuration netfilter/iptables

Afin de concentrer tout le trafic entrant vers le proxy transparent local, on configure quelques règles iptables simples:
iptables -F -t nat
iptables -F
iptables -X
## Règles locales
iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-ports 8118
iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
## Règles extérieures
iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 8118
iptables -t nat -A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53

Vous pouvez tester si le proxy fonctionne en local simplement en vous rendant sur www.whatismyip.org (et vérifier que ce n'est pas votre IP) ou:
$ GET whatismyip.org
ou
$ w3m whatismyip.org
Le même test est réalisable à partir d'un client extérieur après lui avoir modifié sa route par défaut.

Configuration annexe

Si vous voulez que l'ensemble du trafic d'un hôte passe systématiquement dans le réseau Tor, il suffit de configurer le serveur DHCP en rajoutant une entrée host. Par exemple pour dhcpd, on peut rajouter l'entrée suivante dans le fichier /etc/dhcp3/dhcpd.conf

host monHote{
fixed-address A.B.C.D;
hardware ethernet XX:XX:XX:XX:XX:XX;
option routers {adresse IP du serveur Tor}
}

Mise à jour: Commande socat:
socat -d -d TCP4-LISTEN:8118,fork,reuseaddr TCP4:<address_ip>:8118

aucun rétrolien