Re: Jail-Apache

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 5 May 2006 20:25:57 +0200 (CEST)

Dejan Grujin <dgrujin(at)edv-dg.de> wrote:
> Jetzt nehmen wir aber mal an, ich komme auf die Idee
> nochmal einen jail einzurichten mir einem weiteren Apache.
>
> Zugriff sollte dann zum Beispiel so aussehen
> http://blabla.dyndns.org/jail1
> http://blabla.dyndns.org/jail2
> http://blabla.dyndns.org/jail3
> usw

Das geht natürlich nicht per Paketfilter, da der nicht in
das Paket reinguckt (was er tun müßte, um die URL zu sehen).
Der weiß ja nichtmal, daß das Paket Teil einer HTTP-Verbin-
dung ist.

> Könnte ich natürlich so umgehen:
> http://blabla.dyndns.org/jail1:80
> http://blabla.dyndns.org/jail2:2080
> http://blabla.dyndns.org/jail3:3080
> Das wäre die Alternative mit portforwarding.
> Wenn ich aber hinten keine ports angeben möchte sondern,
> dass er alleine weiss wo das hin soll, dann muss doch auf
> dem hostsystem auch ein httpd laufen, oder irre ich jetzt?

Nicht unbedingt auf dem Host.

Du könntest einen Reverse-Proxy (z.B. Apache mit mod_proxy)
in einem eigenen Jail installieren. Der kriegt erstmal
sämtliche HTTP-Requests:

http://blabla.dyndns.org/jail1
http://blabla.dyndns.org/jail2
http://blabla.dyndns.org/jail3

Der kann dann anhand der URL entscheiden, wohin er es
weiterleitet (z.B. per "proxy_forward"-Direktive, evtl.
kann man dafür auch mod_rewrite verwenden):

http://127.0.0.3:1080/jail1
http://127.0.0.4:1081/jail2
http://127.0.0.5:1082/jail3

(Die Zahlen sind natürlich nur Beispiele.) Für den Be-
nutzer ist das vollkommen transparent; der merkt natür-
lich nichts davon.

Das sollte theoretisch auch mit SSL und offiziellem Zer-
tifikat funktionieren, da in der Zugriffs-URL immer der-
selbe Servername drinsteht und Du daher eh nur ein Zerti-
fikat benötigst. Das müßte dann auf dem Reverse-Proxy
installiert werden, da der die Verbindung entschlüsseln
muß (das interne Forwarding auf die anderen Apachen kann
dann unverschlüsselt passieren). Mit einem selbstgemach-
ten Zertifikat funktioniert's natürlich ebenso.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"That's what I love about GUIs: They make simple tasks easier,
and complex tasks impossible."
        -- John William Chambless
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 05 May 2006 - 20:28:35 CEST

search this site