headers
fabrice test | 3 Sep 17:32

Iptables, Redirection port 443

Bonsoir à tous,

Petite question sur la redirection de port.
Un serveur exchange (partie OWA) dans un adressage privé écoutant sur le port 443 pour SSL. Sur le firewall ayant une adresse IP publique est réalisée une redirection d'adresse et de port. Par exemple quand on se connecte sur l' <at> IP publique en port 1000, on redirige vers l'adresse IP privée sur le port 443.

Quand je tente ensuite une connexion, je vois apparaitre l'information du certificat mais après plus rien. La connexion est perdue. Par contre si je fais écouter OWA sur le port 1000 en interne et que je fais une simple redirection d'adresse, ca passe.

Y a t il des limites à la redirection de port pour un trafic SSL ?

merci
fab

Permalink | Reply |
headers
Jean-Claude | 3 Sep 20:47

Re: Iptables, Redirection port 443


Quelques idées :
- OWA négocie-t-il de sa propre initiative autre chose par
la suite. Et sur d'autre ports ? Voir la doc.
- As tu pensé à regarder les logs ?
- Sniffer l'interface externe de ton firewall pourra peut-être aussi t'en
apprendre plus ? 

--

-- 
Salutations.
Jean-Claude
Permalink | Reply |
headers
mouss | 3 Sep 21:59
Favicon

Re: Iptables, Redirection port 443

fabrice test wrote:
> Bonsoir à tous,
> 
> Petite question sur la redirection de port.
> Un serveur exchange (partie OWA) dans un adressage privé écoutant sur le port 443 pour SSL. Sur le
firewall ayant une adresse IP publique est réalisée une redirection d'adresse et de port. Par exemple
quand on se connecte sur l'@IP publique en port 1000, on redirige vers l'adresse IP privée sur le port 443.
> 
> Quand je tente ensuite une connexion, je vois apparaitre l'information du certificat mais après plus
rien. La connexion est perdue. Par contre si je fais écouter OWA sur le port 1000 en interne et que je fais
une simple redirection d'adresse, ca passe.
> 
> Y a t il des limites à la redirection de port pour un trafic SSL ?

le problème dans http (et https), c'est qu'il y a plein de redirection 
(soit "invisible", soit par clic). et si l'url vers laquelle tu es 
redirigé est de la forme https://toto.example.com/, alors le port qui va 
être utilisé par le client est le port 443 (et 80 si t'es eun http://). 
Pour que ça marche, il faut que le serveur n'utilise que des URLs 
relatives (auquel cas, c'est le client qui complète en mettant le 
http[s]://www.example.com:port/" qu'il a utilisé auparavant).

tu peux le voir en utilisant l'extension "Entêtes HTTP en direct" de 
firefox.

sinon, tu peux aussi le voir en utilisant openssl comme client de test:
$ openssl s_client -connect serveur:1000
...
GET / HTTP/1.1
Host: toto.example.com

(deux retours à la ligne à la fin).
tu devrais alors voir les entêtes et la page renvoyée. si tu vois un 3xx 
  sur la première ligne de la réponse (souvent un 301), regarde bien 
l'entête "Location:".

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |

Gmane