Accès restreint à un serveur

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonsoir ! o/

Je souhaiterais mettre en place un accès restreint à un serveur, pour cela j'ai entendu parler de diverses technologies, mais je ne parviens pas à trouver comment mettre l'infrastructure que je souhaite mettre en place.

L'idée, c'est d'avoir un serveur accessible par quelques IP connues (mes serveurs avec Apache par exemple), et par une IP inconnue (mon PC portable aux quatre coins du pays), mais par le biais d'un utilitaire, de façon à être sûr que ce soit moi qui s'y connecte (via un VPN ou un proxy ou autre).

Le but, c'est que ce serveur regroupe mes instances de MySQL, PostgreSQL et ElasticSearch, et de m'en servir comme serveur de bases de données distantes, accessible par mes autres serveurs, mais également par moi-même (c'est là que ça coince) si j'ai besoin d’exécuter des commandes dessus (mise à jour, création d'une base, etc).

J'ai essayé de passer par un autre serveur en guise de VPN, mais les résultats n'ont pas été concluants, comme mon IP d'origine était celle utilisée par le serveur de BDD.

Est-ce que le VPN est une bonne solution ? Si oui, quelle architecture me conseillez-vous d'adopter ? Si non, vers quelle(s) techno(s) devrais-je m'orienter ? J'ai déjà songer à me connecter en SSH sur un premier serveur pour me connecter en SSH au second, mais j'ai envie de progresser un peu en domaine d'administration système, car ça n'est pas mon point fort.

Merci d'avance pour votre aide :)

EDIT : J'espère rentrer dans la catégorie "Site web", si ça n'est pas le cas, désolé, je n'ai pas vraiment trouvé de partie réseau, j'ai jugé que c'est ce qui s'en rapprochait le plus. ^^"

Édité par maxslayer44

+0 -0

Cette réponse a aidé l'auteur du sujet

Yo !

Le but, c'est que ce serveur regroupe mes instances de MySQL, PostgreSQL et ElasticSearch, et de m'en servir comme serveur de bases de données distantes

Donc si j'ai bien compris, tu veux que ce soit ton serveur de bases de données qui soit relié direct à Internet ? C'est pas forcément une bonne idée. Généralement, on conçoit plutôt le système de cette façon :

  • les serveurs "frontend", qui répondent uniquement aux requêtes des clients (Apache + PHP par exemple)
  • les serveurs "backend", qui contiennent les bases de données qui vont être consultées par les frontend (MySQ/PostgreSQL/ElasticSearch)
  • le(s) serveur(s) dit "d'accès", qui permet de se logguer depuis Internet pour accéder au réseau interne (aussi appelé "réseau d'administration").

En gros, tu aurais besoin :

  • d'un réseau Interne (généralement un réseau avec des IPs locales)
  • d'un accès au réseau Internet (donc via une IP routable)

Tous les serveurs sont reliés aux deux réseaux à l'exception des serveurs de BDD, uniquement reliés au réseau interne (car les clients n'ont pas à faire de requêtes directement dessus). Le serveur Apache n'autorise que les connexions par les ports web (80, 443) pour Internet, et autorise le SSH uniquement pour le réseau interne. Les serveurs de BDD acceptent les connexions des clients BDD sur le réseau interne ainsi que le port SSH pour l'IP interne du serveur d'admin. Et le serveur d'admin est LE SEUL à offrir un SSH/VPN vers internet pour accéder au réseau d'admin depuis l'extérieur.

Édité par ntimeu

+1 -0
Auteur du sujet

Hello !

C'est plutôt l'inverse que je veux faire, le couper du net et le rendre accessible que par les apache, et moi-même sans connaître au préalable mon IP.

J'ai une contrainte que je n'ai pas mentionné, je ne sais pas si ça influe beaucoup sur la faisabilité de la chose : mes serveurs sont des VPS chez OVH. Est-ce possible d'avoir cette logique backend-frontend avec un réseau local sur ce genre d'infrastructure ?

Merci de ta réponse en tout cas :)

+0 -0

Cette réponse a aidé l'auteur du sujet

Coucou,

Quand tu dis avoir un accès sur ton serveur de BDD, tu parles d'accès SSH ?
Si c'est le cas, tu passes en accès par clés RSA. Du coup, on sait que c'est toi qui te connecte.
Et sinon tu bloques tous les ports sauf celui de SSH. Sauf pour les IP d'apache, qui elles ont droit à plus de ports.

Édité par ache

ache.one                                                                                   🦊

+1 -0
Auteur du sujet

Hello !

Je parle bien d'accès SSH, et si possible d'avoir accès aux mises à jours. Je n'avais pas pensé à la clé RSA pour faire du SSH directement, je vais me pencher là-dessus.

Merci beaucoup pour vos réponses :)

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte