Redirection de ports vers deux machines

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour,

Je ne sais pas si c'est possible mais j'aimerai pouvoir me connecter depuis l'extérieur via ssh sur deux machines différentes derrière ma box.

Actuellement, j'ai configuré une redirection du port externe 443 vers une ip fixe interne (disons la 1.10) et jusque là, aucun soucis de connexion. Je pensais faire la même chose pour ma seconde machine (disons la 1.20) mais j'ai quelques doutes concernant cette manipulation car je ne vois pas comment je pourrai sélectionner ensuite la machine 1.10 ou 1.20.

Avez-vous une idée de la marche à suivre pour réaliser ce "montage" ?

Merci d'avance !

+0 -0
Staff

tu peux dire "redirige le port 8222 vers la machine 1.10 et le port 8322 vers la 1.20".

Tu n'es pas obligé de rediriger le port A vers le port A ainsi tu peux dire ceci

port initial adresse finale port final
443 machine https 443
8222 1.10 22
8322 1.20 22

Édité par artragis

+1 -0
Auteur du sujet

Et donc suivant la machine sur laquelle je voudrai me connecter, j'aurai juste à choisir le port 8222 ou 8322 c'est ça ?

Dernière petite question, qu'est ce que la machine https sur le port 443 ?

+0 -0

Bonjour

Tu peux aussi te connecter depuis l'extérieur sur une seule machine, et te connecter à la deuxième depuis la première, donc avec les adresses du Lan ;)

ça complique grandement la chose quand même …

Édité par WinXaito

+0 -0
Auteur du sujet

Bonjour

Tu peux aussi te connecter depuis l'extérieur sur une seule machine, et te connecter à la deuxième depuis la première, donc avec les adresses du Lan ;)

ça complique grandement la chose quand même …

WinXaito

Oui, et il faut que les deux machines soient constamment allumées, ce qui ne sera pas le cas ;)

+0 -0

ça complique grandement la chose quand même …

WinXaito

Je veux bien des arguments pour étayer cette affirmation :)

Avec la méthode que je propose, le problème qui se pose ici n'existe simplement plus, puisqu'une seule redirection de port suffit pour toucher ensuite n'importe quelles autres machines avec un serveur ssh installé et configuré.

Dans l'autre cas, il faut une manipulation sur le routeur par machine (là, on ne parle que de 2 mais s'il y en à 10, c'est pareil).

Enfin, chaque port accessible de l'extérieur est une éventuelle porte ouverte à un intrus. Soit, tu blindes une porte, soit, tu en blindes 2 (ou 10) (fail2ban, connexion par clés … )

Voilà, c'est mon point de vue d'amateur derrière sa box, et je suis prêt à entendre tous les arguments pour l'autre solution :)

Ceci dit, puisque les 2 machines ne seront pas allumées tout le temps, on peu configurer ssh pour que chaque serveur écoute sur un ports différents, et là encore, le problème ne se pose plus.

+0 -0

ça complique grandement la chose quand même …

WinXaito

Je veux bien des arguments pour étayer cette affirmation :)

bendia

Cette configuration place la première machine dans le rôle de "gateway secondaire" vers la LAN (en quelques sortes), rôle déjà assumé par le routeur. C'est la raison pour laquelle c'est un peu lourd, d'autant plus que le routeur peut atteindre les deux machines lui-même, sans avoir besoin d'un intermédiaire. Lorsque tu veux joindre la machine 2 (derrière), tu dois passer par la machine 1 (devant), alors que tu peux t'en passer. Tu ajoutes un élément dans la chaine, et prend le risque de te priver des deux machines si la première tombe (ou ici, est éteinte). Ce n'est pas seulement compliqué, c'est inutilement compliqué (et donc, par définition, risqué) :p Ce genre de configuration est envisagé dans des situations où le contenu en provenance du routeur doit être filtré avant de toucher la LAN (la machine 1 agit alors comme filtre). C'est notamment le cas pour des infrastructures où plus d'importance est accordée à la sécurité. A coté de ça, pour mettre en place la configuration nécessaire ici, il faudrait que chaque client distant mette en place un tunnel (par exemple via SSH) avant de pouvoir se faire relayer vers la seconde machine (et ça, c'est pas toujours une partie de plaisir).

Quoi qu'il en soit, si tu veux faire la distinction entre tes deux machines depuis l'extérieur, tu devras utiliser deux points d'accès différents (donc, deux ports). J'aime assez l'idée d'utiliser des "préfixes" (ou suffixes) de port comme le proposait artragis avec le port 22.

En considérant la machine A sur l'IP LAN a.a.a.a, et la machine B sur l'IP LAN b.b.b.b, configure simplement ton routeur pour qu'il redirige son port entrant 1443 vers le port 443 de la machine A, et 2443 vers le port 443 de la machine B. Ainsi, en supposant que l'IP de ton routeur sur Internet soit i.i.i.i, tu peux joindre les machines via https://i.i.i.i:1443/ et https://i.i.i.i:2443/

Tu peux bien sur effectuer le même genre de configuration pour n'importe quel nombre de ports. Utilise, par exemple, les ports 122 et 222 du routeur, pour atteindre a.a.a.a:22 et b.b.b.b:22 via i.i.i.i:122 et i.i.i.i:222. (attention ceci dit, utiliser des ports bas, c'est-à-dire sous 1024, est assez inconventionnel. N'hésite pas à utiliser tes propres numéros, il n'y a pas vraiment de règle tant que tu ne crées pas de conflit avec d'autres ports redirigés. Un bon réflexe serait de consulter /etc/services sur ta machine pour vérifier).

Édité par JWHSmith

JWHS.

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte