Est-il sûr de servir HTTP / HTTPS sur les ports 8080/8443

9

En raison d'une limitation de l'infrastructure, l'une des solutions proposées pour servir un service HTTP dans le monde est de l'offrir sur les ports 8080 et 8443.

Je crains que certains utilisateurs ne puissent pas accéder à ces services car ils ne s'exécutent pas sur des ports standard, et le contenu peut être filtré par (par exemple) dans le cadre de la stratégie réseau de l'entreprise.

Alors ... quelle est la probabilité qu'un utilisateur d'Internet dans son ensemble ne soit pas en mesure d'accéder à ces services?

web-server  http  https  port 
dépensier
source
ne pouvez-vous pas proxy l'adresse du port 80 et 443?
Froggiz
1
Nous utilisons des rôles Web et Worker dans les services Azure Cloud. Pour autant que je sache, il n'est pas possible de pointer un deuxième VIP sur une machine différente à moins que nous ne basculions vers des machines virtuelles Azure. D'autres options incluent le remplacement de l'intégralité du serveur Web frontal par un proxy, mais évidemment, l'utilisation de ports différents résoudrait ce problème à moindre coût.
dépensier
Froggiz
2
J'aimerais répondre à une préoccupation qui semble faire défaut ici. Le fait que vous ne puissiez pas utiliser les ports 80ou 443pourrait suggérer que vous exécutez sur un serveur partagé. Si c'est le cas, il est possible qu'un autre utilisateur puisse se lier à ces ports si le vôtre cessait de fonctionner . Cet utilisateur pourrait alors usurper l'identité de votre site Web (bien que SSL puisse aider à atténuer cela).
Nathan Osman
@NathanOsman, je pense qu'il s'inquiète de l'accès des utilisateurs et des pare-feu des utilisateurs.
Pacerier

Réponses:

7

Les réseaux d'entreprise seront généralement définis par défaut sur des règles comme celle-ci:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

Il est beaucoup plus facile de configurer de cette façon plutôt que de refuser explicitement 99% des 65 535 ports disponibles.

Cela dit, j'ai repris un portail client qui utilisait un port non standard en raison des limitations du réseau; Je ne connais pas les détails du NAT. Quoi qu'il en soit, cela empêchait environ 50% de nos utilisateurs / visiteurs d'accéder au site et chaque fois qu'ils nous appelaient pour signaler ce problème, nous devions nous coordonner avec leur informatique inexistante pour essayer de mettre en œuvre une règle d'autorisation.

Je ne connais pas les détails de vos limitations d'infrastructure mais j'imagine que quelque chose d'autre tourne sur 80/443

Si tel est le cas, votre seul coup pourrait être d'utiliser un proxy interne ou de mettre à niveau le commutateur vers quelque chose avec des capacités NAT plus avancées qui peuvent acheminer les demandes de manière appropriée.

TL; DR

N'utilisez pas un port non standard pour les services accessibles au public qui ont déjà un port standard.

MonkeyZeus
source
1
"Il est beaucoup plus facile de configurer de cette façon plutôt que de refuser explicitement 99% des 65 535 ports disponibles." - même s'ils refusaient explicitement 99% des ports, cela aurait le même effet.
user253751
Nous avons fini par utiliser le serveur Web principal pour proxy les demandes des services offerts sur d'autres ports. Étant donné que les autres services doivent évoluer pour une puissance de traitement supplémentaire plutôt que parce qu'ils atteignent les limites du réseau et que la taille des demandes et des réponses est relativement faible, cet arrangement fonctionne très bien avec le site Web à charge équilibrée principale absorbant facilement le coût du proxy.
passer
@spender Je suis content d'entendre que vous avez pu travailler sans utiliser de ports non standard face au client :)
MonkeyZeus
6

Il est très probable que ceux-ci seront bloqués, en particulier dans les réseaux d'entreprise ou sur le wifi public. Moins probable avec une connexion Internet domestique régulière.

Il serait certainement bloqué sur mon réseau de travail.

De plus, les gens devront se rappeler de taper le numéro de port pour accéder à votre site, ce qui est un casse-tête supplémentaire auquel vous ne voulez pas faire face. Pour les sites internes ou privés, ce n'est pas un gros problème, mais si c'est pour le grand public, vous aurez beaucoup plus de succès en utilisant les ports standard.

Subvention
source
Les services en question ne sont jamais saisis dans le navigateur ... ils sont plutôt pointés à partir de ressources servies sur les ports normaux. Il semble cependant que mes inquiétudes quant à la fiabilité de mon approche soient bien justifiées.
dépensier
pouvez-vous expliquer pourquoi il serait bloqué? j'ai utilisé le port 800 pendant longtemps sans aucun problème, même avec les outils de référencement Google et le référencement ..
Froggiz
1
L'une de mes tâches consiste à gérer un site Web qui indexe les flux de shoutcast, et il est courant que certains utilisateurs derrière les réseaux d'entreprise ne puissent pas écouter les flux qui s'exécutent sur des ports non standard. Cependant, 8080 et 8443 semblent être un peu spéciaux, mais probablement pas assez spéciaux. Je dirais que l'exécution d'un service sur 800 est particulièrement risquée car elle relève de ports "bien connus" qui sont beaucoup plus susceptibles d'être bloqués.
dépensier
Une solution simple consiste à laisser votre serveur fonctionner sur le port 8080/8443, et au niveau du pare-feu, les ports NAT / forward 80/443 à 8080/8443.
SnakeDoc
1
@SnakeDoc D'accord, j'ai couvert l'option proxy dans ma réponse :-)
MonkeyZeus
2

Ce n'est pas difficile de faire frapper votre navigateur, dites http://example.com:8080/index.html , mais lorsque vous parlez de politiques d'entreprise bloquant les ports non standard, cela semble très difficile.

Si une sorte d'équilibrage de charge est configurée, vous pouvez toujours configurer vos applications pour qu'elles s'exécutent sur un port standard et faire en sorte que le port d'équilibrage de charge soit redirigé vers le port impair en interne. Même si vous n'avez pas d'équilibrage de charge, je suis sûr que vous pouvez trouver un moyen de rediriger vers un port interne non standard.

En interne, les utilisateurs peuvent accéder sur un port impair (si cela ne fait pas partie de votre politique d'entreprise à bloquer), en externe, ils voient http://example.com .

Il existe de nombreuses façons de le faire, vous devrez faire preuve de créativité en fonction des types de barrages routiers que vous rencontrez. C'est toujours un défi!

Brett Salmiery
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.