Si vous avez la chance que votre fournisseur d’accès Internet (FAI) vous donne une adresse IP dédiée, vous pouvez configurer un serveur domestique et le rendre disponible sur Internet en ajoutant quelques règles de redirection de port à votre routeur. Mais si votre FAI vous oblige à partager cette IP avec vos voisins, la redirection de port n’aidera pas. D’autres fournisseurs bloquent simplement les connexions entrantes via des règles de pare-feu.
Vous pouvez contourner toutes ces restrictions à l’aide d’un serveur privé virtuel. Tout fonctionnera, même s’il a moins de 512 Mo de RAM, car tout ce qu’il a à faire est de rediriger le trafic réseau. C’est très léger sur le CPU et la RAM. Le serveur recevra les connexions entrantes et les redirigera vers votre ordinateur via ce qu’on appelle un « tunnel SSH inversé ». De cette façon, vous pouvez configurer n’importe quel type de serveur domestique, avec des coûts mensuels très faibles.
Imaginez que vous créez un serveur NextCloud pour télécharger/synchroniser vos fichiers. Vous bénéficiez de la confidentialité d’avoir ces fichiers sur votre serveur domestique, puis vous pouvez acheter un disque dur de 6 To pour obtenir tout l’espace dont vous avez besoin. Vous n’avez qu’à payer une facture d’électricité mensuelle et moins de 5$/mois pour un serveur privé virtuel. C’est bien moins cher que la facture mensuelle d’un serveur avec 6 To d’espace.
Noter: cela ne fonctionne que pour rediriger le trafic réseau TCP. TCP est utilisé par des choses telles que les serveurs Web (port 80/tcp). UDP est utilisé par certains serveurs de jeu (pas tous), par exemple Counter Strike (port 27015/UDP). Le tunneling UDP est possible, mais avec quelques « hacks », qui pourraient faire l’objet d’un futur tutoriel.
Windows 10 a maintenant un client SSH intégré
Il n’est plus nécessaire d’utiliser PuTTY pour initier des connexions SSH. En fait, pour ce didacticiel, vous utiliserez en fait ce client intégré pour configurer le tunnel. Lisez le didacticiel sur le client OpenSSH de Windows 10 si vous ne le connaissez pas déjà.
Préparer le serveur privé virtuel aux connexions de tunnel
Créez un serveur privé virtuel avec votre fournisseur préféré, comme DigitalOcean, Linode, Vultr ou tout ce que vous préférez. Le plus important est de choisir un emplacement de serveur aussi proche de vous que possible pour minimiser la latence du réseau. Essayez de configurer le serveur de manière à pouvoir vous connecter directement au compte root, de préférence avec une clé SSH, car c’est plus sécurisé. Ceci est nécessaire si vous souhaitez que le serveur écoute les connexions arrivant sur des ports inférieurs à 1024, appelés ports privilégiés.
Ouvrez l’invite de commande (ou un terminal si vous êtes sous Linux) et connectez-vous au serveur via SSH.
Modifiez les paramètres du serveur OpenSSH :
Si vous ne vous êtes pas connecté en tant qu’utilisateur root mais en tant qu’utilisateur normal, vous devrez utiliser cette commande, sinon vous ne pourrez pas enregistrer le fichier :
Faites défiler jusqu’à ce que vous trouviez une variable appelée « GatewayPorts ». La ligne peut ressembler à ceci : #GatewayPorts no. Supprimez le « # » précédent (pour décommenter) et remplacez la ligne par GatewayPorts yes.
Si vous ne trouvez pas la ligne, faites simplement défiler jusqu’à la fin et ajoutez la ligne vous-même :
Appuyez sur Ctrl + X, puis appuyez sur y et enfin sur Entrée pour enregistrer le fichier.
Rechargez le démon SSH pour qu’il prenne en compte le nouveau paramètre.
Quittez la session SSH.
Comment configurer un tunnel SSH inversé
Les paramètres de commande sont les mêmes sur les systèmes d’exploitation Linux, Windows et même BSD. La syntaxe générale est :
Par exemple, pour transférer toutes les connexions qui arrivent sur le port 80 (au serveur) et les envoyer au port 8080 sur votre ordinateur local, la commande serait :
Cela suppose que vous ayez un serveur Web, comme Apache ou Nginx, qui écoute sur le port 8080 de votre machine locale. Mais si Apache/Nginx écoute sur le port 80 par défaut, il n’y a aucun problème à utiliser le même port deux fois dans la commande précédente (puisqu’ils font référence au port 80 sur un serveur différent).
À ce stade, si quelqu’un entre l’adresse IP de votre serveur privé virtuel dans la barre d’adresse d’un navigateur, sa connexion sera redirigée et servie par votre ordinateur local.
Dans l’image ci-dessus, un simple serveur Web pour Chrome a été utilisé et écoute par défaut sur le port 8887. Vous pouvez essayer cette configuration vous-même en installant l’application, puis en utilisant la commande, comme sur l’image.
Il convient de mentionner que pour garder le tunnel actif, votre session SSH doit rester active. Pour fermer le tunnel, tapez exit dans la fenêtre terminal/invite de commande.
Conclusion
Comme vous pouvez le voir, il n’est pas difficile de créer un tunnel SSH inversé, mais sécuriser un site Web l’est. Donc, si vous choisissez de mettre en œuvre une idée comme un serveur NextCloud local, isolez-le au moins dans une machine virtuelle. De cette façon, si votre site Web est compromis, au moins le reste de votre système d’exploitation sera indemne.
Et, vous savez… toujours sauvegarder ce que vous ne voulez pas risquer de perdre !
Cet article est-il utile ? Oui Non
