Monitor Forum | Start New Thread Start New Thread
RE: Separer interface d'administration [ Reply ]
By: Cédric Coulomb on 2022-02-08 09:20
[forum:492352]
Bonjour,
J'ai ouvert un nouveau sujet avec ma problématique :
https://adullact.net/forum/forum.php?thread_id=321271&forum_id=1739&group_id=450

RE: Separer interface d'administration [ Reply ]
By: Cédric Coulomb on 2022-02-04 07:57
[forum:492327]
Bonjour,

A défaut de ne pas pouvoir pour l'instant bloquer l'accès à l'ACC depuis le WIFI (Réseau Interne) j'ai essayé de n'autoriser qu'une adresse IP depuis ce réseau WIFI (ici c'est 192.168.182.2), mais cela ne fonctionne pas.

Pour cela j'ai aussi modifié le fichier ("/etc/lighttpd/vhosts.d/alcasar-with-ssl.conf") :

$HTTP["remoteip"] !~ "192.168.182.2" {
$HTTP["url"] =~ "^/acc/" {
url.access-deny = ( "" )
}
}
Je ne vois pas où est mon erreur.

RE: Separer interface d'administration [ Reply ]
By: Cédric Coulomb on 2022-02-02 11:19
[forum:492297]
Bonjour,

Tout d'abord merci d'avance pour toutes ses réponses. J'ai un besoin un peu similaire.
Je souhaiterais avoir accès à l'ACC de Alcasar (v3.5.4) seulement via le Réseau Externe.

1 - J'ai modifié le "/usr/local/etc/alcasar-iptables-local.sh" et cela fonctionne parfaitement. Je peux me connecter depuis le réseau externe (WAN) à l'interface de l'ACC.

2 - J'ai modifié le fichier "/etc/lighttpd/vhosts.d/alcasar-with-ssl.conf" pour bloqué l'accès à l'ACC depuis le réseau interne (WIFI) avec les lignes suivantes :

$HTTP["remoteip"] == "192.168.182.0/24" {
$HTTP["url"] =~ "^/acc/" {
url.access-deny = ( "" )
}
}
J'ai relancé le service : systemctl restart lighttpd

Mais cela ne fonctionne pas. Je peux toujours accéder l'ACC depuis le WIFI

J'ai ajouté ces lignes à la fin du fichier. Est-ce le "bon'" endroit ?

RE: Separer interface d'administration [ Reply ]
By: Richard REY (Rexy) on 2022-01-21 23:34
[forum:492217]
@Laurent,

Voici les possibilités pour interdire l'accès au réseau situé entre ALCASAR et la Box :
- Uniquement pour les utilisateurs filtrés par la blacklist, on peut ajouter l'adresse de réseau dans le menu de l'ACC "filtrage" + "liste noire"

- pour tous les utilisateurs, il faut décommenter 3 lignes préchargée du fichier "/usr/local/etc/alcasar-iptables-local.sh" (dernière version !) :
# On interdit les utilisateurs d'accéder à des réseaux situés entre ALCASAR et le routeur d'accès à Internet
# Deny access of users to networks connected between ALCASAR and Internet broadband router
#protectedNetworks='10.0.0.0/8,172.16.0.0/12,192.168.0.0/16' # (RFC 1918)
#[ -n "$TUNIF" ] && consultationIF=$TUNIF || consultationIF=$INTIF
#$IPTABLES -A FORWARD -i $consultationIF -d $protectedNetworks -j DROP
#$IPTABLES -A FORWARD -o $consultationIF -s $protectedNetworks -j DROP

Il n'y a pas de possibilité pour des utilisateurs authentifiés spécifiques

RE: Separer interface d'administration [ Reply ]
By: internet question on 2022-01-21 23:24
[forum:492216]
super merci

RE: Separer interface d'administration [ Reply ]
By: Richard REY (Rexy) on 2022-01-21 23:18
[forum:492215]
Bonsoir,

Oui c'est tout à fait ça.

RE: Separer interface d'administration [ Reply ]
By: internet question on 2022-01-21 09:27
[forum:492214]
merci pour votre réponse

Je voudrais plutôt interdir l'administration (ACC) a une plage ip par exemple 172.25.0.0/16
si je comprend bien la syntaxe

j'édite le fichier

/etc/lighttpd/vhosts.d/alcasar-with-ssl.conf


$HTTP["remoteip"] == "172.25.0.0/16" {
$HTTP["url"] =~ "^/acc/" {
url.access-deny = ( "" )
}
}
systemctl restart lighttpd


c'est bien le == ?

RE: Separer interface d'administration [ Reply ]
By: Laurent roux on 2022-01-20 22:37
[forum:492211]
Bonjour,
Dans la même veine, Peux-t-on empêcher un utilisateur authentifié de se connecter aux équipements entre Alcasar et la box ?


RE: Separer interface d'administration [ Reply ]
By: Richard REY (Rexy) on 2022-01-17 00:13
[forum:492178]
Bonsoir,

L'accès à l'ACC est sécurisé via la méthode "htdigest over TLS" qui a prouvé sa robustesse au fil du temps.
Cependant, vous pouvez atteindre votre objectif en limitant l'accès à l'ACC aux seules adresses IP des PC des administrateurs. Pour cela, ajoutez les lignes suivantes dans le fichier de configuration du serveur WEB ("/etc/lighttpd/vhosts.d/alcasar-with-ssl.conf") :

$HTTP["remoteip"] !~ "192.168.182.69|192.168.182.70" {
$HTTP["url"] =~ "^/acc/" {
url.access-deny = ( "" )
}
}
Adaptez les adresses IP à votre cas et relancez le serveur via la commande "systemctl restart lighttpd"

Votre besoin est intéressant. Nous allons l'ajouter dans notre fichier "todo" afin d'interfacer cela dans l'ACC.

Separer interface d'administration [ Reply ]
By: internet question on 2022-01-06 10:35
[forum:492054]
Bonjour,
Nous sommes en train de maquetter un alcasar en machine virtuel.
Par defaut alcazar dispose de 2 interfaces WAN et interface-user-wifi.
l'administration de l'alcasar se fait pas l'interface interface-user-wifi.
cela me pose un probléme de sécurité. Je ne voudrai pas que les utilisateurs wifi puissent acceder a l'interface d'administration web d'alcasar.
est il possible d'ajouter un interface et de faire l'administration que sur celle ci ?

FEDER Powered By FusionForge Collaborative Development Environment Charte d'utilisation / Nous contacter / Mentions légales Haut de page