From: Bulent Tatlidil (btatlidil@infotron.com.tr)
Date: Mon 13 Oct 2003 - 12:02:30 EDT
Aslinda sorunun cozumu basitmis,
yapmak istedigim ozetle daha once de belirttigim gibi
bir apache reverse proxy ile arkadaki web/uygulama
sunucularina erisimi saglamakti.
ornek :
http://www.matrix.com domain'i
altinda neo.matrix.com subdomain'i
olsun. Arka tarafta baska bir domain(neo.matrixreloaded.com)'de
9090 portunda bi uyguluma sunucusu calissin, ve biz neo.matrix.com
girdigimizde neo.matrixreloaded.com:9090 deki uygulamaya eriselim.
o zaman:
<VirtualHost *>
ServerName www.matrix.com
</VirtualHost>
<VirtualHost *>
ServerName neo.matrix.com
ProxyRequests off
ProxyPass / http://neo.matrixreloaded.com:9090/
ProxyPassReverse / http://neo.matrixreloaded.com:9090/
</VirtualHost>
Boylelikle http://neo.matrix.com istegi
http://neo.matrixreloaded.com:9090/ 'a
proxylenmis oluyor. Browser da ise kesinlikle matrixreloaded.com ile bir
url bilgisi
yok. Hatta baglanan kullanici matrixreloaded.com'un ip adresini bile
bilmiyor veya
bunun bir gercek domain olmasi da sart degil. yani matrixreloaded.film
gibi bir domain
olabilir .yeter ki proxy o domain/ip'ye erisebilsin.
Daha once basimizi agritan acik-relay olma problemi de
"ProxyRequests off" direktifi ile cozuluyor. (En azindan artik 404 donuyor.)
Bu mail-relaying derdi hatta bir bug olarak belirtilmis ancak
http://xforce.iss.net/xforce/xfdb/12681
yazdigi gibi apache'den kaynaklanan bir durum degil , yanlis konfigurasyon
hatasindan oldugu apache takimi tarafindan bildirilmis.
Bu direktif daha once "on" idi. Fakat anlam olarak proxy isteklerini ac
anlamindan
oturu bu ayari hep atlamistim. Oysa yanlis olan "ProxyRequests on"
olmasi imis.
Daha once tavsiye edilen mod_proxy'i komple kapatmak veya belli ip'lere
izin vermek
(public olmasi gereken bir site oldugu icin ) cozum oldugu halde bizim
isimize gelmiyordu.
(squid kursakta apache atraksiyonlarindan mahrum kalacaktik.)
Bu kadar anlatmamim sebebi bence mod_proxy kullanim acisinda yeri
geldiginde faydali. ilk once guvenlik acisindan bir katman daha eklemis
oluyorsunuz gercek sunuculara (direk internete koymamaktan oturu,ornegin
IIS sunucular icin faydali olabilir. ) erismeden evvel. Arkadaki tum
sunuculara
tek noktadan erisim imkani verebilir. Ayrica arkadaki makinalarda
ip/host/domain adi
vs gibi degisikliklerde kolay olabilir,cunku internetten gelen kullanici
sadece reverse proxy'e
erisecek ve arkadaki degisikliklerden etkilenmeyecektir.Ayrica
tomcat-apache entegrasyonunda
mod_jk ile calismaya bir alternatifte olabilir.
Elbette faydalari yaninda zararlarida var ancak uzatmak istemedim liste
konusu geregi.
Sadece paylasmak istedim,
selamlar..
burak.dayioglu@pro-g.com.tr wrote:
>
>Merhaba,
>Gozlemlediginiz durum Apache'nizin bir public web proxy olarak calisiyor
>olmasi. Dileyen herkes sizin apache araciligi ile http url'leri
>isteyebiliyor. Eger web sunucunuz HTTPS destekli ise CONNECT metodu
>sayesinde yalnizca http url'lerini istemekle kalmayip diledikleri yere
>sizin bilgisayariniz araciligi ile BAGLANABILIRLER; evet tam bir TCP
>connection'indan soz ediyorum. :) Bu baglanti uzerinden spam mesaj da
>gonderebilirler, anonim internet sorfu de yapabilirler.
>
>Cozum, Apache ayarlarindan (kullanmiyorsaniz) mod_proxy'yi kapatmak ya da
>mod_proxy'i Access/Deny direktifleri ile yalnizca IP'si belli gercek
>kullanici grubuna acmak olmali.
>
>selamlar, gecmis olsun, ;)
>-bd
>
>
>
>
>
-- Bulent Tatlidil info[+]TRON A.S. Prof. Dr. F. K. Gokay Cad. No 27/3 Altunizade 81190 Istanbul TURKEY +90-216-651-0955 +90-216-651-0954 -- Bulent Tatlidil info[+]TRON A.S. Prof. Dr. F. K. Gokay Cad. No 27/3 Altunizade 81190 Istanbul TURKEY +90-216-651-0955 +90-216-651-0954