Forum Linux.général site internet: me guider de l'achât d'un nom de domaine (namecheap, done), ouverture de ports (?!??)

Posté par  . Licence CC By‑SA.
Étiquettes :
2
4
nov.
2022

Bonjour,
Je ne comprends RIEN aux réseaux,
Ma question est double:
1 )j'aimerais pouvoir établir une liaison ssh avec un ami mais ça ne marche pas, ça ne marche même pas de ma machine à ma propre machine.
ceci:

sudo iptables -A INPUT -p tcp --dport 4000 -j ACCEPT

est censé ouvrir le port 4000, mais ça ne marche pas, puique
ssh localhost -p 4000 échoue (connection refusée) échoue.
Ensuite, je connais mon ip publique, mais n'arrive pas à établir une liaison avec. Pareil, connection refusée.
Pour info, mon router est un SFR, firmware modèle GR120DG
Je n'y comprends RIEN.
2) j'ai un site local et un serveur web qui fonctionne, j'ai acheté un nom de domaine (namecheap) mais n'ai pas la moindre idée comment lié les deux. tout ce qui est des DNS me passe complètement au-dessus de la tête.
J'espère que vous pourrez m'aider.

Ce n'est pas vraiment la partie la plus complexe mais éventuellement voici ma configuration nginx:

        server
        {
            listen       80;
            server_name  localhost;
            root /home/drm/WEBSITE/public;
            error_page   500 502 503 504  /50x.html;
            location = /404.html {
                root /home/drm/WEBSITE/public;
            }
        }
  • # Conseils

    Posté par  . Évalué à 7.

    Pour ton serveur SSH, d'ordinaire, ça tourne sur le port 22, et pas 4000.
    Tu peux déjà lister les services en écoute avec une commande telle que:
    sudo ss -nltp

    Tu as raison qu'il va falloir gérer les ouvertures de ports, à la fois sur ta machine, mais également sur ton routeur où tu vas devoir faire une redirection de ports.

    Sur ta machine, peux-tu lister le résultat des commandes:
    sudo iptables -L -n -v
    sudo iptables -t nat -L -n -v

    Une fois que tu réussiras à te connecter en local, on pourra voir pour ce qui est de la question du serveur web.

    Toutefois, j'attire ton attention sur le fait d'ouvrir ces services et particulièrement le serveur web. Si tu ne maîtrises pas ce que tu fais, ce n'est peut-être pas une bonne idée de s'exposer ainsi sur internet. Peut-être devrais-tu considérer une solution en ligne web ou VPS ?

  • # des pistes

    Posté par  . Évalué à 4. Dernière modification le 05 novembre 2022 à 10:24.

    1°) SSH ecoute par defaut sur le port 22

    donc ouvrir le parefeu sur le port 4000 ne changera rien

    il faut modifier la configuration de openssh-server pour ecouter sur le port 4000
    si c'est ce que tu souhaites

    pour l'acces de l'exterieur, il faut voir si la box de ton operateur dispose d'une interface admin, pour lui dire de renvoyer le port 4000 exterieur, vers le 4000 de ton "serveur" qui contient SSH, configuré sur 4000

    note que tu peux aussi regler la box pour rediriger le 4000 externe, vers le 22 du serveur :D

    2°) tu as acheté un nom de domaine, il y a surement une interface pour gerer la zone DNS de ton domaine
    dans cette zone, tu va demander à faire un enregistrement de type A, qui aura le nom
    www.tondomaine.tld et qui ira vers l'adresse IP de ton serveur (IP publique ou privée d'ailleurs, mais si tu veux que ce soit joignable de l'exterieur, ce sera forcement l'ip publique)

  • # Ta config nginx

    Posté par  (site web personnel) . Évalué à 3.

    Probable que tel que tu as configuré ton Nginx ça ne fonctionne que depuis ton ordinateur, sur la même machine…

    Tu devrais remplacer le paramètre dans server_name par le nom de domaine en question, sinon un "_" qui est le caractère jocker pour nginx.

    Sincèrement, si tu ne maîtrises pas le réseau et les logiciels, tu devrais d'abord potasser l'immense documentation accessible sur Internet, et ne pas faire des essais sur ton ordinateur de travail.

    D'ailleurs, si tu transformes ta machine en rebond, par erreur, tu vas avoir de gros ennuis.

    La configuration d'un serveur web ne se résume pas toujours à ce que tu as écrit.

    Bon courage

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Ta config nginx

      Posté par  . Évalué à 2.

      Un autre conseil indispensable avant d'autoriser ssh sur le grand réseau, c'est de s'assurer que l'authentification par mot de passe est désactivée. Voir man sshd_config (PasswordAuthentication no). À part ça, c'est en forgeant…

      • [^] # Re: Ta config nginx

        Posté par  . Évalué à 2.

        Un autre conseil indispensable avant d'autoriser ssh sur le grand réseau, c'est de s'assurer que l'authentification par mot de passe est désactivée.

        pourquoi? Quel est le risque? D'un bruteforce? Avec un bon mot de passe, ça devrait tenir non?

        • [^] # Re: Ta config nginx

          Posté par  . Évalué à 3. Dernière modification le 09 novembre 2022 à 21:43.

          Oui pour cela, et tout dépend de ce qu'est un bon mot de passe… mieux vaut dormir tranquille :) On a vite fait de faire un "passwd user" pour "et vas-y que je te donne l'accès 5 minutes avec le mot de passe "password123""… et puis on oublie… À minima, mettre PermitRootLogin prohibit-password. Et si un bon password c'est une suite aléatoire de 30 charactères, les clefs deviennent tout des suite bien moins difficiles à mettre en oeuvre :)

  • # exposer un site hébergé chez soi

    Posté par  . Évalué à 2.

    J'imagine que ton site tourne sur une machine allumée 24/24 et branché à ta box internet. Pour ma part je ne connais que la Freebox v6 mais elles fonctionnent à peu près toutes pareil.

    Ta machine a une IP privée (192.168.x.y), non accessible par internet. Seule ta box a une IP publique (A.B.C.D), accessible par internet.

    PAT sur la box

    Il faut donc configurer ta box pour faire de la redirection de ports :

    • 80 -> IP privée serveur : 80
    • 443 -> IP privée serveur : 443

    Sur le serveur, il est possible de faire écouter le serveur web sur n'importe quel port. Des fois on choisi 1080 et 1443 pour ne pas avoir besoin de faire tourner en root. Tout ce qui est inférieur à 1024 nécessite d'être root.

    DNS chez namecheap

    Ensuite, il faut configurer ton DNS pour pointer vers ton IP publique. C'est un enregistrement de type "A"

    www A A.B.C.D

    Si il existe déjà (pointe sur une page bidon de ton fournisseur de domaine), ne pas hésiter à supprimer l'ancier pour remettre celui là.

    Pour connaître ton IP publique, tu peux aller sur https://whatismyipaddress.com/

    difficultés

    Maintenant les choses se corsent si ton fournisseur a choisi de découper ton IP publique entre plusieurs clients (le IPv4 se font rares). Car ils le font en découpant la plage de ports entrant :

    1. 1 à 16383
    2. 16384 à 32767
    3. 32768 à 49151
    4. 49152 à 65536

    Donc si tu es le client 2, 3 ou 4, tu ne possèdes pas de port 80 ou 443. Gloups.

    Dans ce cas, tu peux réclamer une IP complète (en tout cas chez Free). Ton IP va alors changer car l'IP actuelle est découpée. Il en faut une entière.

    Si tu as la chance d'être le client 1. NE FAIS RIEN.

    enjoy

    Si tout marche, bravo. Tu pourras nous donner le lien de ton site.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.