Restraindre l'écoute de ssh uniquement sur un domaine spécifique

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Restraindre l'écoute de ssh uniquement sur un domaine spécifique

Dryusdan

Bonsoir 🙂
J'ai une question (encore et je pense pas très utile ^^ ).
Je cherche le moyen que 3 domaines écoutent le port 22, mais que ssh.domain.tld se connecte au SSH, git.
domain.tld:22 redirige sur une IP spécifique, sftp.domain.tld redirige vers une autre. J'utilise nginx (sur Docker) en front, donc si c'est possible, ça serait génial 😃 (même si je crois que ça fonctionnera pas :/ )

Merci d'avance 🙂

Ikoula

Salut,

Bah tu peux utiliser des enregistrements DNS pour faire ça, mais tu poses une double question en fait car avec les DNS tu peux faire pointer un nom de domaine vers une ip par contre pour restreindre tu dois utiliser des règles firewall. Par ailleurs pour te répondre plus précisément il faudrait que tu indiques si les domaines en question ont été enregistrés ou si on est sur du réseau local et enfin où se trouvent les machines sur lesquelles tu veux te connecter en SSH ?

Dryusdan

Salut 🙂
Il s'agit d'une machine est un serveur dédié chez Online sur un réseau public. Et les domaines sont enregistré sur les dns d'OVH.

Le truc c'étais surtout s'il y avait moyen de faire cohabiter plusieurs applications sur un même port grâce à divers sous domaine 🙂

xavier

Salut
@Dryusdan
normalement tu ne peux pas faire fonctionné plusieurs appli avec des ports identique sur le même serveur.

arckosfr

Non pas possible, à moins d'avoir un Firewall en amont

Dryusdan

Ho, c'est dommage, même si on a plusieurs domaine ?

(Nginx fait bien un reverse mails, mais pas un reverse ssh ? 🙁 )

Merci pour vos réponses 🙂

dextou

Tu peux faire cohabiter plusieurs applications qui passent par un mutliplexeur " SSLH" , mais c'est limité a un serveur web,openvpn, ssh, XMPP.
Mais je ne crois pas , que c'est qu'il veut !!!

Dryusdan

dextou Dommage 🙁
xavier merci 🙂

Vivement que l'IPV6 soit effectif partout

xavier

oui je vois ce que tu veux dire , mais pour le mail en faite on ajoute le module mail quand tu compile nginx ..
https://www.nginx.com/resources/admin-guide/mail-proxy/

Magicalex

Dryusdan la encore je sais pas pourquoi mais j'ai l'impression que tu mélanges tout.

Sur un réseau public c'est une ip = une machine

xavier

avec IPV6 ça sera pareil..on pourra pas mettre plusieurs appli avec le même port

après peut être j'ai mal compris ce que tu voulais faire..

Dryusdan

Je pensais qu'on pouvait lier plusieurs IP a une machine avec différence interface (j'avais vu quelque part en essayant de configurer mon serveur pour qu'il accepte l'IPV6 d'Online que le suffixe /48 était pour un bloc d'ip, /52 pour un serveur et /64 pour une VM, j'avais donc déduit qu'on pouvait mettre plusieurs IP sur un serveur, c'est pour ça :x )
xavier si tu as très bien compris, je pensais que le listen (de nginx) ou le listenAdress (de ssh) permetait d'ouvrir un même port pour deux IP différentes

Merci pour vos réponses 🙂

xavier

si tu peux avoir plusieurs ip public/ip-fo (mais faut l'acheter) ou des ip privée sur une seul machine.
avec des interfaces réel eth0 eth1 ou virtuel eth0:0 eth0:1 etc etc.
mais attention si c’est une ip privée faut que ça reste interne à ton serveur car si une ip privée essait de sortir sur le net en passant par le routeur online/ovh/tonhebergeur , il te couperont la connexion (adresse mac non reconnue )

mais là pour ipv6 si je me trompe pas
tu créer une interface eth0:0
avec ton ipv6 est tu modifies ton adresse mac par celle qu'on te donne avec ipv6

Dryusdan

xavier me ip internes sont en 172.20.x.x, donc peu de soucis de ce coté

ça reste encore très obscurs pour moi de ce coté ci :x mais je regarderai 🙂

Merci

Aerya

Dryusdan Salut, bienvenue dans IPtables 🙂
Tu peux tout à fait créer plusieurs interfaces réseau sur une machine pour lui ajouter plusieurs IP. Qu'elles soient louées/achetées ou attribuées sur un LAN.
Ensuite tu devras gérer des règles IPtables/Nginx/Apache2 par IP/domaine. Mais c'est assez spécifique comme contexte.
C'est par exemple le cas de machines pro qui doivent être en extra/intranet,voire sur plusieurs intranet. C'est aussi le cas de machines qui font de la virtualisation via Docker/VirtualBox headless. Sachant que Proxmox/ESXi sont d'autres cas de figure vu qu'on crée des machines virtuelles.

Sincèrement ce genre de configuration peut être intéressante à faire pour le côté technique mais je doute que ce soit utile au-delà. Tu pourrais nous expliciter ta problématique (ses raisons) ?

Ikoula

Oui viens en au fait car c'est dur de te suivre là :/

Dryusdan

En fait, j'aimerai juste (c'est que éthétique) faire en sorte que mon gitlab sous docker, mon ssh, et mon sftp sous docker puissent être appelé sur le port 22 (type ssh.dryusdan.fr:22, git.dryusdan.fr:22, sftp.dryusdan.fr:22) alors qu'actuellement c'est git.dryusdan.fr:2022. C'est esthétique et ça permet de pouvoir utiliser git, le sftp dans le réseau de l'IUT (actuellement je dois tout faire passer par un proxy local en sock5 grâce au SSH

J'espère ne pas vous avoir perdu à nouveau ^^'

Magicalex

Ah ok il y a un soft qui permet de faire ça de manière assez simple.
http://www.rutschle.net/tech/sslh.shtml

jean787

Juste un conseil. N'utilisez pas le port par défaut SSH sur le web. Toujours mettre autre que 22.
Par mesures de sécurité bien sûr.
Dans la limite du possible aussi.

Dryusdan

jean787 J'utilise le port 22 car les autres ports sont restreint à l'IUT
Et j'utilise une clé stocké sur mon PC, donc le brute force ne passe pas 😉
Mais si y a moyen d'accéder à un compte verrouillé par une clé sans cette dernière, dites le moi ^^

jean-luc

jean787
Salut;

La délocalisation du port 22 ou autres n'est pas une sécurité en soit...un gadget sans plus...

Celà permet juste de réduire les logs émanant des robots qui tapent dans les ports connus (22, 80, 443..)

La vraie sécurité est de se prémunir de la possibilité de connexion, en ayant des mots de passe dignent de ce nom (aléatoires avec Maj + min + chiffres + caractères spéciaux et d'une longueur >= 12 mini; et pas de mots du dico, et les changer de temps en temps).
Ou encore mieux pour le ssh, une connexion par clefs 2048 ou + et "PasswordAuthentication no" dans le sshd_config une fois les clefs testées ; ça reste inviolable en utilisant même des moyens disproportionnés dans une durée raisonnable de moins de 10 ans:
http://security.stackexchange.com/questions/4518/how-to-estimate-the-time-needed-to-crack-rsa-encryption
http://superuser.com/questions/881063/how-long-would-it-take-to-break-a-1024-bit-openpgp-encrypted-email

A partir de là; même si les bots frappent à la porte du 22, tu peux dormir tranquille...moi perso le logs, ça ne me dérange pas ...

A contrario, si tu es la cible privilégiée d'un hacker, ne t'en fait pas qu'il n'aura pas pour long à découvir ton port ssh, même sur le 49123 par exemple...

Page suivante »