Ports

En présence d'un proxy-nazi, on a généralement un accès sortant seulement sur le port 80 (plus ou moins bousillé par des filtrages/censures) et sur le port 443 (devant accepter toute connection SSL et soumise à des filtrages/censures pour tout le reste). Afin de s'adapter à ce contexte, les services d'andre.gillibert.fr sont pour beaucoup accessibles sur le même port.

Le port 443 accepte les services suivants:

• SSH : il y a juste un problème avec les vieilles versions de PuTTY qui ne sont pas conformes à la norme. En effet, ces vieilles versions attendent que le serveur envoient leur "HELLO" avant d'envoyer la moindre donnée. Cela empêche l'auto-détection du protocole.
• HTTPS (c.à.d. HTTP tunnelisé à l'intérieur d'une connexion SSL) (dirigée vers apache) permettant l'accès à Roundcube, Nextcloud, WebDAV, CardDAV, CalDAV, etc.
• HTTP (aussi dirigée vers apache, mais sans SSL)
• Proxy HTTP (dirigé vers squid, permettant d'accéder au Web en général). Nécessite un login et mot de passe HTTP selon la méthode Proxy-Authentication Basic (cf RFC-2617.txt). Le proxy gère CONNECT vers n'importe qu'elle adresse sur n'importe quel port (y compris localhost). Il gère aussi le gatewaying FTP. C'est à dire, on peut faire une requête "GET ftp://ftp.ubuntu.com/ubuntu HTTP/1.1" pour récupérer un HTML qui liste le dossier correspondant.
• Proxy HTTPS (c.à.d. Proxy HTTP tunnelisé à l'intérieur d'une connexion SSL) (dirigé vers squid, permettant d'accéder au Web sans être espionné par le proxy-nazi). Nécessite login et mot de passe. L'usage d'un proxy HTTPS n'est pas directement possible sous Firefox ou Chrome. À la place, il faut spécifier une URL vers un script proxy auto-config (PAC). Pour cela, nous vous conseillons le script PAC suivant: http://andre.gillibert.fr/wpad.dat. Cela reste aisé à configurer sous Firefox ou Chrome.
• SSH tunnelisé à l'intérieur d'une connexion SSL (indifférenciable d'une connexion HTTPS)
• XMPP (pas encore bien testé) brut ou tunnelisé à l'intérieur d'une connexion SSL

Les mêmes services sont disponibles sur le port 80.

La surcharge de service est possible grace à l'auto-détection des premiers octets envoyés par le client. Cela est fait par un programme d'écoute et de redirection des flux.

• Si le premier octet vaut 0x16, alors, c'est du SSL (HTTPS ou Proxy HTTPS). Le système décode le SSL puis sniffe de nouveau le contenu pour distinguer HTTPS et Proxy HTTPS.
• Si le premier octet est inférieur à 0x20, alors c'est un protocole "binaire". Pour l'instant, c'est redirigé comme du SSL.
• Si les premiers octets contiennent "<?xml" alors c'est du XMPP.
• Si les premiers octets valent "SSH-2.0-", alors c'est du SSH.
• Sinon, c'est du Proxy HTTP ou du HTTP
  • Si les premiers octets contiennent "VERBE[ESPACE](http|ftp)s?://" ou "CONNECT[ESPACE]" alors c'est du Proxy HTTP.
  • Sinon, c'est du HTTP (le serveur peut avoir à attendre l'apparition du premier SPACE, CR ou LF avant de rendre son jugement, plus jusqu'à 9 octets au-delà du SPACE)

Limitation 1 : on ne peut pas utiliser une extension de HTTP qui utiliserait le verbe "SSH-2.0-" ou qui utiliserait un code binaire comme verbe.

Limitation 2 : la conformité au protocole SSH n'est pas tout à fait correcte. En effet, le protocole précise que le client et le serveur doivent immédiatement envoyer tous deux leur HELLO après établissement de la connexion TCP sans entendre l'autre. Ici, le serveur attend le client afin d'identifier le protocole.

Limitation 3 : pour l'instant, les protocoles IMAP, POP et SMTP ne peuvent pas être supportés car c'est au serveur d'envoyer les premiers octets de données. La seule possibilité de surcharge porterait sur un des trois protocoles en se basant sur un timeout (ce qui est vraiment moche) afin que le serveur puisse déclarer le protocole uniquement si le client reste silencieux.

SMTP

Serveur : mail.gillibert.fr (préféré) ou gillibert.freetcp.com

Port : 587 (préféré) ou 25

Securite : STARTTLS (préféré) ou non securise

Authentification : PLAIN, LOGIN ou CRAM-MD5 (préféré)

Clients conseilles : K9 mail (mobile), thunderbird (desktop), claws-mail (super pour tracer les problemes de reseau)

IMAPv4

Serveur : mail.gillibert.fr (préféré) ou gillibert.freetcp.com

Port : 143

Securite : STARTTLS (préféré) ou non securise

Authentification : LOGIN (compatibilite max), CRAM-MD5 ou CRAM-SHA1 ou CRAM-SHA256 (securite max... non necessaire avev STARTTLS)

Clients conseilles : K9 mail (mobile), thunderbird (desktop), claws-mail (super pour tracer les problemes de réseau)

Autre (local atomserv)

Redirections plink (SSH) : atomserv -> PC0011378

http://127.0.0.1:1080/ --> intranet4 CHU

http://192.168.1.0/24:1081/ --> serveur Apache sur PC011378 permettant l'accès aux disques en HTTP et WebDAV

http://192.168.1.0/24:1082/ --> https://cispro.chu-rouen.fr:443/ via PC011378

https://192.168.1.0/24:1444/ --> https://localhost(PC0011378):443/

smb://127.0.0.1:1139 --> smb://saturne:139

http-proxy://192.168.1.0/24:1083/ --> http-proxomitron://localhost(PC0011378):8080/

Autre (local PC001378)

localhost:8000 : SSH tunnelisé sur SSL/TLS vers atomserv via stunnel

localhost:8080 : proxomitron

localhost:80 et 443 : apache

Autodétection

L'adresse https://autoconfig.gillibert.fr/mail/config-v1.1.xml est une adresse d'auto-configuration mail pour thunderbird, Evolution, Kmail et Kontact

Le CalDAV et CardDAV sont automatiquement détectés sur le serveur https://mail.gillibert.fr/ par le plugin "CalDAV & CardDAV Provider" associé à TbSync pour Thunderbird grâce à https://mail.gillibert.fr/.well-known/carddav et à https://mail.gillibert.fr/.well-known/caldav qui ont une RewriteRule Apache.

Pour faciliter encore l'auto-configuration, il y a des champs DNS SRV et TXT pour _carddavs._tcp.mail.gillibert.fr et _caldavs._tcp.mail.gillibert.fr qui spécifient le port et l'adresse du serveur CalDAV et CardDAV, conformément au RFC6764

WebDAV (drive)

Chemin Web (préféré) : https://webdav.gillibert.fr:444/

Chemin Web (derriere pare feu) : http://webdav.gillibert.fr/

login et mot de passe personnels

Clients conseilles : WebDAV Nav Lite (mobile), owncloud client (desktop)

CardDAV (contacts)

Chemin Web (préféré) : https://mail.gillibert.fr:444/owncloud/remote.php/dav

Chemin Web (derrière pare feu) : https://mail.gillibert.fr/owncloud/remote.php/dav

Chemin Web (autodétection) : https://mail.gillibert.fr/.well-known/carddav

login et mot de passe personnels

Clients conseilles : DAVx5, anciennement Davdroid (mobile)

Clients deconseilles : OpenSync (fork non maintenu et moins fonctionnel de Davdroid, perd par exemple les relations personnalisées sans avertissement), CardDAV-Sync (dmfs GmbH, perd plein de donnees sans avertissement)

CalDAV (agenda, taches, journal)

Chemin Web (préféré) : https://mail.gillibert.fr:444/owncloud/remote.php/dav

Chemin Web (derrière pare feu) : https://mail.gillibert.fr/owncloud/remote.php/dav

Chemin Web (autodétection) : https://mail.gillibert.fr/.well-known/caldav

login et mot de passe personnels

Clients conseilles pour l'agenda : DAVx5, anciennement Davdroid (mobile)

Clients conseilles pour les taches : OpenTasks (mobile)

Clients deconseilles pour l'agenda: OpenSync (fork moins fonctionnel de Davdroid), Caldav Sync Free Beta

Clients deconseilles pour les taches : CalDav TaskSync (mobile), Tasks: Astrid To-do list clone (Alex Baker)

Nextcloud Notes

Chemin Web: https://andre.gillibert.fr:444/owncloud/

login et mot de passe personnels

Client conseillé: Nextcloud Notes (sur F-droid)

Autres applications conseillees

F-droid, alternative au Play Store contenant tres peu d'applications mais dont tout le contenu est libre et de haute qualité. En activant le mirroir des archives, on peut utiliser les vieilles versions des logiciels.

ICSx5 (marche F-Droid) : permet de synchroniser des calendriers publics partages selon le protocole Webcal, c'est a dire iCalendar over HTTP.

EZ Explorateur de Fichiers

Slight backup (marche F-Droid)

WPS Office

QuickEdit