Bonjour,
Je possède un serveur web sous debian jessie. Je cherche un moyen qui va me permettre de rediriger les requêtes http du réseau dans lequel est le serveur vers le fichier " /var/www/index.html" .
J’aimerai avoir des propositions si possible.
Cordialement,
Bonjour,
Le vhost 000.default.conf disponible dans /etc/apache2/site-available le fait déjà
Si cela n’est pas le cas :
La doc apache existe en français et pas trop mal même si un peut complexe.
Cordialement
Bonjour merci de ta réponse.
Je pense que tu n’a pas compris ma question. En faite, je souhaite que chaque requêtes http effectué au sein de mon réseau soient redirigées vers ma page qui est dans /var/www .
Pour t’expliquer le contexte, je souhaite juste que ces requêtes soient redirigées vers cette page qui sera une page d’authentification et qui va permettre aux utilisateurs d’avoir un accès à internet.
Bonjour,
Cela s’appelle un “portail captif”, ou captive portal pour les anglophones.
On trouve pas mal de documentation ou de logiciels pour faire ça, sur le web.
Ainsi qu’il est écrit un peu partout, il n’existe aucune solution parfaite pour sécuriser un portail captif dès lors que l’on intègre du WiFi.
On peut mener la vie dure aux piratins, mais rien de parfait.
J’ajoute un lien vers la rfc7710 , qu’il peut être intéressant de lire.
–
AnonymousCoward
Bonjour,
J’en suis au courant, et j’ai mes raisons pour avoir adopter la solution " iptables + apache2 " seul bémol, j’ai des soucis au niveau de la redirections des requêtes http vers mon serveur apache.
Donc, tu as le logiciel de portail captif installé sur le routeur / la passerelle par défaut ?
Et le Apache 2, il est situé où ? Egalement sur le routeur ?
Si tu souhaites un coup de main, il nous faudra nous fournir la configuration de iptables/netfilter sur le portail captif, alors que le portail captif est en cours de fonctionnement.
–
AnonymousCoward
En effet je n’avais pas compris ta demande.
Le portail captif s’appuie sur le service proxy pour les redirection du flux + règle Iptable.
Le portail n’est qu’une authentification par dessus le système de proxy.
Je commencerais par la:
Quand cela sera validé je pense que tu pourra ensuite passer sur ton Portail.
Petite info
Cordialement
Un portail captif ne s’appuie pas sur un proxy mais sur un site web tout court.
On peut voir un exemple de portail captif (pas super sécurisé) ici :
https://andrewwippler.com/2016/03/11/wifi-captive-portal/
Dans cet exemple, il n’y a aucun proxy. Juste que quand le site web autorise une machine à passer, ses paquets sont marqués 0x02 et passent alors dans la chaîne wlan0_Known , qui laisse alors tout passer tel quel.
–
AnonymousCoward
Je vous explique ce que je souhaite faire :
Mettre en place un portail captif par l’intermédiaire d’une simple page WEB sur mon serveur apache avec quelques règles IPTABLES.
L’authentification dois se faire via mail ou par numéro de téléphone. Raison pour laquelle je n’utilise pas de " covachilli " " pfsense " ou autre, qui proposent que des authentification avec un serveur radius.
Wlan0 = 192.168.1.1 (réseau du portail captif)
Eth0 = 10.10.0.150 ( réseau relié à internet)
J’ai pu mettre en place la translation de l’eth vers le wlan donc mes machines du wlan ont un accès internet, toutefois, j’ai du mal avec mes règles IPTABLES car les machines du réseau du portail captif n’accèdent pas automatiquement à mon serveur web.
A d’accord je pensez qu’il fallait forcément un proxy pour la redirection du flux.
De plus souvent sur les tuto qui expliquer comment monter un Portail il faisait mettre un proxy.
Dans l’exemple de portail captif dont j’ai mis le lien, il utilise la ligne :
iptables -t nat -A wlan0_Unknown -p tcp --dport 80 -j DNAT --to-destination 192.168.24.1
En sachant que cette règle est appelée depuis la chaîne PREROUTING de la table nat. Et que 192.168.24.1 est l’adresse IP “lan” de son routeur, qui héberge aussi l’interface web du portail captif.
L’interface web ne peut pas être située sur une machine du LAN autre que le routeur.
On pourrait l’héberger sur une autre machine, à la condition qu’elle ne soit pas dans la même plage d’IPs / le même sous-réseau que le LAN. Parce-que l’on ne peut pas rediriger une connexion originaire d’un LAN vers une autre machine de ce même LAN.
–
AnonymousCoward
Merci ton tutoriel m’a beaucoup aidé, c’est ce que je recherchais !
ses paquets sont marqués 0x02
Un taggage comme un vlan ?
Je dirais que c’est différent d’un tag VLAN.
Cette marque, c’est un champ de 32 bits, associé à un paquet quand il traverse netfilter/iptables sur le système Linux. Ce champ disparaît quand le paquet sort de la machine et n’existe pas avant qu’il entre dans la machine.
On peut mettre un peu ce que l’on veut dans ce champ / cette marque. Un nombre ou des drapeaux / flags, ou encore un mélange des deux : réserver 5 bits pour un nombre allant pouvant prendre 32 valeurs différentes et 3 bits pour 3 drapeaux ETC.
En passant, avec netfilter/iptables il y a en fait 2 marques différentes. Une par paquet individuel et une par “connexion” suivie par conntrack. La marque sur la connexion est connue sous le nom de “connmark”.
L’intérêt, par exemple, c’est que si on effectue une série de tests sur un paquets dans la chaîne PREROUTING de la table nat pour déterminer si c’est un paquet “pirate”, on peut marquer le paquet pour ensuite le traiter dans la chaîne INPUT de la table filter en le détectant sans avoir à recommencer tous les tests.
Si d’autres questions : message privé.
–
AnonymousCoward