samedi 28 novembre 2015

Box et Reverse Proxy

Notions fondamentales

Une box ADSL comprend au minimum deux composants principaux:
  • Un routeur
  • Une passerelle

Routeur

Le routeur sera doté d'une IP publique ou externe de type 93.154.12.218, qui permettra de le contacter depuis Internet. Dans un premier temps, le routeur d'une box ADSL va rejeter tout le trafic entrant depuis Internet. Il ne s'agit pas d'un parefeu mais plus simplement, il ne sait que faire de ce trafic entrant ...
Un routeur à pour fonction principale de router les paquets entre différents réseaux: Réseau privé vs Réseau internet

Passerelle

La passerelle comporte une adresse IP locale de type 192.168.1.1.
Il s'agit d'une notion logique qui constitue un point de sortie lorsque l'adresse d'un hôte de destination est introuvable sur le réseau local.

NAT/PAT

Un équipement connecté au réseau local ou privé sera affecté d'une adresse locale de type 192.168.1.10. Cet équipement peut envoyer des requêtes à destination d'Internet (173.194.67.94) qui seront transmises au routeur. Malheureusement, le routeur ne pourra pas transmettre à son destinataire (173.194.67.94) l'adresse locale de l'expéditeur (192.168.1.10) car celle-ci est inconnue d'Internet. Le routeur va substituer l'adresse locale de l'expéditeur par son adresse IP publique, c'est la Network Address Translation (NAT):
192.168.1.10 => 93.154.12.218.
Pour identifier sans ambiguïté les deux interlocuteurs, il sera nécessaire d'ajouter un port de communication en plus des adresses IP. Le couple adresse IP:Port est appelé socket réseau. En procédant d'une manière analogue aux adresses IP, le routeur va réaliser des translations de ports lors de communication entre différents réseaux: c'est la Port Address translation (PAT).

Hébergement d'applications

Il s'agit d'autoriser l'accès à des applications locales depuis Internet. Dans ce cas, les clients Internet connaissent uniquement l'IP publique du routeur de la Box (soit directement soit par l'intermédiaire d'un nom de domaine).
Pour un serveur Web qui écouterait sur le port 80 d'une machine 192.168.1.10, le routeur doit accepter des requêtes sur son IP publique et sur le port 80. Si ce routeur n'est pas affecté de régles, il va détruire tout le trafic entrant !
Il devient nécessaire de configurer des règles NAT/PAT sur le routeur afin d'autoriser certains trafics entrants depuis Internet. On pourra  par exemple, écrire une consigne pour que le trafic entrant sur le port 80 soit dirigé vers le port 1080 d'une machine locale 192.168.1.10.
  • 93.154.12.218:80 => 192.168.1.10:1080
  • 93.154.12.218:90 => 192.168.1.20:2090
  • ...

Intérêt du Reverse Proxy

Serveur de domaines

Depuis l'apparition des nano-pc, les réseaux domestiques ressemblent de plus en plus à de petits réseaux d'entreprises. On trouve désormais sur de nombreux réseaux domestiques: plusieurs serveurs (nano-pc) hébergeant chacun plusieurs services eux mêmes à l'écoute sur plusieurs ports ...
Il devient très difficile de se souvenir des différentes url et des règles NAT/PAT correspondantes. On peut éviter ces nombreuses règles en redirigeant la totalité du trafic entrant vers un Reverse Proxy qui traduira des requêtes de domaine pour les rediriger vers le service adéquat:
  • http://mondomaine.music.no-ip.biz => 192.168.1.10:1090
  • http://mondomaine.video.no-ip.biz => 192.168.1.11:1091
  • http://mondomaine.camera.no-ip.biz => 192.168.1.12:1092
  • ...

Blocage de ports

De plus, un Reverse Proxy sera très utile pour passer outre certains blocages de ports lors d'une connexion à un réseaux domestique depuis:
  • un réseau d'entreprise (proxy)
  • un réseau mobile
  • un hotspot wifi
  • ...

Connexions SSL

SSL est un protocole utilisé abondamment dans les réseaux domestiques pour sécuriser les accès depuis Internet. En effet, on supposera que personne ne souhaite émettre en clair sur Internet ses informations de connexion pour accéder à des applications Web d'un réseau domestique ...
Un reverse proxy de type NginX peut aussi assurer le rôle d'un front-end HTTPS vers de multiples back-end HTTP. Dans ce cas, le protocole SSL sera entièrement géré par NginX en front-end Internet afin de conserver un simple protocole HTTP pour l'intégralité du réseau domestique local:
[Internet] (web browser) HTTPS [Réseau domestique](front-end Nginx) HTTP (back-end services)

Reverse proxy NginX

Installation et configuration

L'installation du paquet nginx se réalise très simplement depuis un système linux debian:
sudo apt-get install nginx 
 Puis il faut créer ou mettre à jour le fichier de configuration du proxy localisé sous /etc/nginx/nginx.conf:

user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events {
    worker_connections 768;
}
http {
    # Basic Settings
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    # Logging Settings
    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;
    # Gzip Settings
    gzip on;
    gzip_disable "msie6";
    # Virtual Host Configs
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}


Maintenant, que le proxy NginX est prêt à fonctionner, il faut définir comment NginX va réagir aux requêtes qu’il recevra. Pour cela, il faut écrire des règles de redirection dans un fichier de configuratio localisé sous le répertoire /etc/nginx/sites-enabled.


Les fichiers de configuration des sites actifs contenus sous le répertoire /etc/nginx/sites-enabled  sont en général des liens symboliques vers le répertoire /etc/nginx/sites-available

pi@rpi-proxy /etc/nginx $ ls -alrht /etc/nginx/sites-enabled/
total 8,0K
drwxr-xr-x 5 root root 4,0K aout   9 21:09 ..
lrwxrwxrwx 1 root root   39 nov.  29 17:21 default -> /etc/nginx/sites-available/domain_no-ip
drwxr-xr-x 2 root root 4,0K nov.  29 17:27
.

NginX prenant en compte les règles dans l’ordre, il faut commencer par lui dire que toutes les requêtes pour un domaine donné arrivant par un port donné doivent être renvoyées vers le serveur web. Dans l'exemple ci-dessous, on demande à NginX d’écouter le port 80 et de rediriger les requêtes pour le domaine tom23.com vers le serveur web situé sur l’ip 192.168.2.56 du réseau domestique local.
server { 
    listen 80; 
    server_name tom23.com; 
    location / { 
        proxy_pass http://192.168.2.56/  
    } 
}

SSL et certificats auto-signé

Il faut d'abord  installer openssl afin de créer les clés SSL et le certificat :

apt-get install openssl
Sous le répertoire /etc/ngnix, il faut genérer une clé RSA en 1024 bits:
openssl genrsa -out ngnix.key 1024
A partir de cette clé, on va pouvoir créer le certificat générique:
openssl req -new -key nginx.key -out nginx.csr
Puis on crée finalement le certificat au format x509:
openssl x509 -req -days 365 -in nginx.csr -signkey nginx.key -out nginx.crt

La configuration du serveur NginX se fait par modification du fichier contenu
dans le répertoire /etc/nginx/sites-enable:
server {
    listen 443;
    server_name localhost;
    root html;
    index index.html index.htm;
    ssl on;
    ssl_certificate nginx.crt;
    ssl_certificate_key nginx.key;
    ssl_session_timeout 5m;
    ssl_protocols SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_pass http://tom23:8080;
    }
    location /toto {
        proxy_pass http://tom24:8026/toto;
    }
}
server {
    listen 443;
    server_name toto.no-ip.biz;
    root html;
    index index.html index.htm;
    ssl on;
    ssl_certificate nginx.crt;
    ssl_certificate_key nginx.key;
    ssl_session_timeout 5m;
    ssl_protocols SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
    ssl_prefer_server_ciphers on;

    location / {
        try_files $uri $uri/ =404;
    }
    location /toto {
        proxy_pass http://
tom24:8026/toto;
    }
}
server {
    listen 443;
    server_name titi.no-ip.biz;
    root html;
    index index.html index.htm;
    ssl on;
    ssl_certificate nginx.crt;
    ssl_certificate_key nginx.key;
    ssl_session_timeout 5m;
    ssl_protocols SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://tom25:8080;
    }
}

Création de domaines No-Ip

Service No-Ip

Les routeurs des box ADSL Orange reposent sur un adressage IP dynamique. Cette caractéristique peut conduire à utiliser des noms de domaines pour atteindre le routeur d'une box depuis Internet.
En effet, il sera difficile de contacter directement un routeur avec une adresse IP susceptible de changer régulièrement...
No-Ip est un service gratuit qui autorise la création de plusieurs noms de domaines. Après la création d'un ou plusieurs noms de domaines, il faudra configurer le routeur de la box ADSL afin qu'il transmette au site No-Ip chaque nouveau changement de son adresse IP externe.
Finalement, il ne sera plus nécessaire de connaitre l'adresse IP externe du routeur, car on pourra saisir son nom de domaine depuis Internet pour accèder à la Box ADSL.

Création d'un compte

Dans un premier temps, il est nécessaire de créer un compte sur le site www.no-ip.com.

Création d'un domaine

La création d'un nom de domaine s'effectue depuis le menu Add a Host de la page principale.
Il suffit de choisir un nom de domaine puis de valider avec l'aide du bouton Add Host

Configuration du routeur ADSL

Finalement, il faudra configurer le routeur ADSL afin qu'il informe automatiquement le service No-Ip lors des changements d’adresse IP externe. Le site No-Ip associera cette nouvelle adresse IP externe au nom de domaine. Cette étape est dépendante de chaque type de routeur ADSL et l’exemple ci-dessous est relatif à une Livebox d'Orange.
Il faut d'abord se connecter sur le serveur Web de configuration de la Livebox (http://192.168.1.1), puis sélectionner l'onglet configuration avancée et le menu DynDNS.