Interdire l'accès en webdav mais seulement depuis Internet.

Lupa · 29-02-2020 18:06:42

Bonsoir à tous

Serveur Oncloud, HTTPS, sous Jessie.

Je souhaite interdire l'accès en webdav à mon serveur. Mais seulement depuis Internet, bien sûr. Pas en local.
Alors ou je tripatouille l'hôte virtuel, ou je m'y prends avec iptables.

Je préfèrerais iptables, même si c'est peut-être plus simple de modifier l'hôte virtuel.
Mais je ne m'y entends pas trop sur iptables.
D'où mon sujet. Excellente occasion de le domestiquer.

Quelle sorte de règle appliquer ?
La documentation d'iptables est... assez monstrueuse

J'ai réalisé une image CloneZilla du disque système : je fais déjà ça avant les mises à jours, alors iptables... Hum !

A votre avis ?

leonlemouton · 01-03-2020 23:21:58

Salut,
C'est quoi le port utilisé par webdav ? 443 (https) ?
Peux tu le vérifier ?

grep webdav /etc/services

Bon courage !

Lupa · 02-03-2020 10:42:36

Bonjour

Oui : c'est bien le port 443.
Et la commande ne retourne... rien.
Contrairement à des tests, par exemple :

apache2ctl configtest

Syntax OK

Mais, j'ai fait un test sous Tor.
J'ai vérifié : depuis l'Allemagne, j'y accède via mon IP publique
C'est précisément ce que je veux bloquer

Des pistes :
https://www.youtube.com/watch?v=MXJ9Lv9yKjo

https://www.youtube.com/watch?v=fEeRjLbRARE

Donc, modifier, entre autres, le apache2.conf. Les options </Directory>
Je vais creuser ça. https://debian-facile.org/img/smilies/x … chhead.gif
Evidemment, sauvegarde impérative des fichiers avant de les modifier. Et même CloneZilla, à y être.

Mauvaise idée !
Sauf erreur de ma part, ils désactive les webdav tout court. Y compris en local.

Dernière modification par Lupa (02-03-2020 13:50:20)

raleur · 03-03-2020 10:40:50

Peux-tu décrire ton installation plus en détail ?
Comment se fait l'accès au serveur depuis internet ? A travers une box ? En IPv6 ? En IPv4 ? Via une redirection de port (adresse publique -> privée) ?
Comment se fait l'accès au serveur depuis le réseau local ? Par la même interface réseau que depuis internet ?
Ce serveur héberge-t-il d'autres sites/services en HTTPS que WebDAV qui doivent rester accessibles depuis internet ?

Dernière modification par raleur (03-03-2020 10:42:44)

Lupa · 03-03-2020 10:58:02

Bonjour.
Accès actuel :
- client Owncloud, depuis le réseau local et l'extérieur
- accès webdav depuis le réseau local ET l'extérieur (ce que je veux bloquer)

- IPV4 : j'ai erradiqué l'IPV6. Il me faudra apprendre à la gérer aussi.

Freebox Revolution.
Ports 80 et 443 redirigés vers l'IP locale du serveur.
Le port 80 ne me sert pas, puisque je suis en HTTPS. Mais un hôte virtuel d'Apache, le modèle-type, utilise le port 80. Je n'ai donc pas osé la commande a2dissite.
Un seul serveur. En dur, pas virtualisé.

A cette question : "Comment se fait l'accès au serveur depuis le réseau local ? Par la même interface réseau que depuis internet ?" :

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

    link/ether b8:ac:6f:9d:c5:21 brd ff:ff:ff:ff:ff:ff

    inet 192.168.0.XX/24 brd 192.168.0.255 scope global eth0

       valid_lft forever preferred_lft forever

Je n'ai pas configuré d'autre interface... C'est un tort ?
J'ai masqué l'IP locale, comme il m'a été demandé ailleurs.

raleur · 03-03-2020 12:08:44

Je suppose que tu veux garder l'accès à Owncloud depuis internet, donc supprimer la redirection du port 443 dans la box n'est pas une option. Même problématique avec iptables.

Une options possible serait d'utiliser des ports ou des adresses différents pour les deux services. Cela implique qu'il faudra spécifier le port dans les URL du service qui n'utilisera pas le port standard 443, et celui-ci risque d'être inaccessible depuis les réseaux qui n'autorisent que les ports standard. Pas très pratique, j'en conviens.

Côté Apache, j'ignore s'il est possible de restreindre l'accès à un hôte virtuel en fonction de l'adresse source.

bendia · 03-03-2020 12:53:51

raleur a écrit :

Côté Apache, j'ignore s'il est possible de restreindre l'accès à un hôte virtuel en fonction de l'adresse source.

C'est possible, avec la directive Require

Lupa · 03-03-2020 14:18:00

Une options possible serait d'utiliser des ports ou des adresses différents pour les deux services. Cela implique qu'il faudra spécifier le port dans les URL du service qui n'utilisera pas le port standard 443, et celui-ci risque d'être inaccessible depuis les réseaux qui n'autorisent que les ports standard. Pas très pratique, j'en conviens.

Et, en plus, le client Owncloud, risque de ne pas pouvoir se connecter depuis Internet. Là, pas d'URL. Une IP, voir un nom de domaine (ce qui n'est pas le cas actuellement).

Require : je vas potasser ça.

Je donne le retour.

raleur · 03-03-2020 14:41:34

Lupa a écrit :

le client Owncloud, risque de ne pas pouvoir se connecter depuis Internet. Là, pas d'URL

Si c'est du HTTP(S), il y a forcément des URL. Owncloud est servi par Apache ou bien c'est un service indépendent (je n'y connais rien en cloud), donc sur un port différent de 443 ?

Lupa · 03-03-2020 15:47:15

@raleur : URL, en webdav, oui. Bien sûr.
Mais le client Ownclouod (le logiciel, pas le Owncloud installé sous Debian), lui, n'utilise pas d'URL. A ma connaissance en tout cas.
Une IP publique ou un nom de domaine.
Je n'ai jamais saisi une URL pour me connecter avec le client...
Et oui, c'est bien du HTTPS sur port 443.
Par contre, côté serveur, quand on le monte, arrivé au lancement du setup de OwnCloud, oui : on saisit le port d'Apache. Mais pas d'URL. Juste le port d'Apache et le psw de root (de Owncloud).

Voici un capture du setup de Owncloud serveur, quand on monte le serveur :
file.php?h=Rd914c7cbeae9d125a958ebeb335904bb

file.php?h=Rd914c7cbeae9d125a958ebeb335904bb

Il n'y a aucune URL à saisir.

Et, côté client
file.php?h=R9e84655fdf001573c4cbeb0ad0f79a8c

Ici, l'image est trompeuse, pour mon cas. Je ne saisi QUE l'IP publique, y compris dans le réseau local.

Je ne sais pas si je me suis bien fait comprendre

En tout cas, je regarde de très près cette directive Require.

Dernière modification par Lupa (03-03-2020 17:16:00)

bendia · 03-03-2020 19:07:13

Lupa a écrit :

Mais le client Ownclouod (le logiciel, pas le Owncloud installé sous Debian), lui, n'utilise pas d'URL. A ma connaissance en tout cas.

En fait si, mais c'est caché dans le fonctionnement du client.je pense. Webdav c'est ça, une extension du protocole HTTP, il y a donc forcement des URL. Owncloud implémente un serveur Webdav, il va donc générer des URL. Le client connaît par avance comment son formé ces URL, et sait donc comment interagir avec le serveur.

Pour ma part, je doute que tu puisse séparer l'accès via l'interface web de l'accès via le client, il doit interroger les mêmes URL

Debian-facile

#1 29-02-2020 18:06:42

Interdire l'accès en webdav mais seulement depuis Internet.

#2 01-03-2020 23:21:58

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#3 02-03-2020 10:42:36

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#4 03-03-2020 10:40:50

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#5 03-03-2020 10:58:02

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#6 03-03-2020 12:08:44

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#7 03-03-2020 12:53:51

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#8 03-03-2020 14:18:00

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#9 03-03-2020 14:41:34

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#10 03-03-2020 15:47:15

Re : Interdire l'accès en webdav mais seulement depuis Internet.

#11 03-03-2020 19:07:13

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Pied de page des forums