redirect

sajnos számtalan módja lehet neki...

Hat a kulso szerveren tuzfal van. ahhoz, hogy a belsore be lehessen jutni azon at kell menni nem???
Na most mar az igaz, hogy a belso-hoz er ezzel a redirectel, hogy hogyan tudna az apache-t feltorni, mert a belso gepen is apache van??

Talan id illik a legjobban!

Kerdesem a kovetkezo:
-Van 1 ftp server, ami csak bizonyos ip-krol enged bejutni
-Van meg 1 szerver(ssh,ftp,http...) server olyan ip-vel, ami az elozohoz connectalhat! 400MB quota:(
-egy sajat gep, ide van csak root jelszavam! Ide kene letolteni elso ftp serverrol cd iso-kat.

Tudtok eseleg erre megoldasokat?
Parancssori is kiraly lenne. wgetet neztem, azzal nehezkesen megoldhato, de az igeny nagy macera!

Az otleteket elore is thx!

Hat a kulso szerveren tuzfal van. ahhoz, hogy a belsore be lehessen jutni azon at kell menni nem???

Igen. És gondolom futnak rajta szolgáltatások.
Ha ezek a szolgáltatások (ftp, apache, mail, stb) törhetőek, akkor semmit nem ér az IP alapú tűzfal.
Ha pedig a külső gépeden bent vannak, onnantól csak egy lépés a belső, mert gondolom azon is ugyanaz a linux verizió fut, mint a külsőn...

Kérdés az, hogy kinek mennyit ér, hogy a te gépeddel próbálkozzon.

Zwei.

u.i. Sajnálom, hogy nem sikerült zöld ágra vergődnöd a ProxyPass-al, annál is inkább mert én tök ugyanígy használom mint Te akartad (csak nálam egy alkalmazás szerver van belül), és nekem jól működik....
A Linuxban pont ez a szép, hogy egy feladatra nagyon sok jó megoldás van....

<VirtualHost 81.196.37.3:80>
...
ServerName www.xy.com
ProxyPass /KACSA http://192.168.1.21:80
ProxyPassReverse /KACSA http://192.168.1.21:80
...
<\VirtualHost>

Kell hozzá mod_proxy az Apache-ba, de a ProxyRequests Off
legyen bekapcsolva(!!!)

======================================

Sajnos nem megy kivulrol, csak belso halozatrol.
Proxyrequest On vagy Off kelle legyen a httpd.conf-ban
Nekem belulrol mindkettovel mukodott.
Valamit elrontottam????

[quote:36ac0caf1c="balage2"]
De minek parameterezni az IPtablest, hogy ha egy egyszeruen meg lehetett volna oldani ahogy en mondtam:

lehet másképp is megoldani, de így egy már meglévő netfilter struktúrába beilleszthető az egész. akár a külső, akár a belső gépen szvsz.(mert abban azért bízom, h vmilyen filterezés azért csak van...)

Proxyrequest On vagy Off kelle legyen a httpd.conf-ban

Azért kell OFF ra állítani, hogy ne tudják a gépet anonym proxy szervernek használni a neten. A ProxyPass működése független tőle.

Lenne egy egyszeru megoldasi aternativa:
Abba a ha jol emlekszem KACSA konyvtarba elkeszitesz egy index.html-t
ezzel a tartalommal:

<html>

<head>
<title>redirect</title>
<meta http-equiv="refresh" content="0;url=192.168.1.21">
</head>

<body>

</body>

</html>

Szerintem

[quote:23d70af12b="balage2"]
<head>
<title>redirect</title>
<meta http-equiv="refresh" content="0;url=192.168.1.21">
</head>

Ez nem fog mukodni, mivel a belso halon levo gep nem rendelkezik publikus ip cimmel.

[quote:203c433f67="trey"][quote:203c433f67="balage2"]
<head>
<title>redirect</title>
<meta http-equiv="refresh" content="0;url=192.168.1.21">
</head>

Ez nem fog mukodni, mivel a balso halon levo gep nem rendelkezik publikus ip cimmel.

:?
Nem igazan ertelek.

[quote:249ec1a612="trey"]
Ez nem fog mukodni, mivel a belso halon levo gep nem rendelkezik publikus ip cimmel.

Mostmar egyaltalan nem ertem az egeszet.
Bezavartal.

Trey, most hogy ittt ezt olvasgatod megmondhatnad, hogy csak senki nem valaszol nekem vagy nem megy a szolgaltatas.

igy nem fog menni.
nehany tipp:
* a belso gepre felhuzol egy webszervert, es kivulrol a 80-tol eltero portot atiranyitod, az oldaladban pedig igy hivatkozol ra. (tehat a belso geped 80-as portja lesz pl a kulso_cimed:8080, a linkjeid pedig http://te.domained:8080/akarhol/akarmi.html )
* a belso gep konyvtarat felcsatolod a szerverre.

de azert gondold vegig: valoban be akarod engedni a belso halodba a kulvilagot :?:

[quote:f056fbecf5="trey"][quote:f056fbecf5="balage2"]
<head>
<title>redirect</title>
<meta http-equiv="refresh" content="0;url=192.168.1.21">
</head>

Ez nem fog mukodni, mivel a balso halon levo gep nem rendelkezik publikus ip cimmel.

Aha!
Tenyleg igazad van.
Mar ertem

balage2: Amit irtal mit csinal(na)? -> arra utasitja a _bongeszot_, hogy toltse le a az url-ben megadott cimet. De te oda belso halozati cimet irsz ( 192.168.0.0/16 ), ami kivulrol ertelmetlen cim. Tehat szegeny bongeszo [ vagy a sajat belso halojaban kezd el guberalni, ahol kis valoszinuseggel talalja meg a kivant oldalakat :), vagy ] egyszeruen nem tudja hova forduljon...

Es Szerinetm igy is lehet:
Az APACHe-t beallitod, hogy legyen public_html
ugy pakolsz a kacsaba, hogy a serveren a felhsznalo
public_html-jebe packolod az oldalt, es ugy ered el kivulrol, hogy
www.xy.com/~kacsa
es abban az index.html-t latod.
Es kesz

[quote:34e860ddc8="opaque"]balage2: Amit irtal mit csinal(na)? -> arra utasitja a _bongeszot_, hogy toltse le a az url-ben megadott cimet. De te oda belso halozati cimet irsz ( 192.168.0.0/16 ), ami kivulrol ertelmetlen cim. Tehat szegeny bongeszo [ vagy a sajat belso halojaban kezd el guberalni, ahol kis valoszinuseggel talalja meg a kivant oldalakat :), vagy ] egyszeruen nem tudja hova forduljon...

OK
mar azelott megertettem.
Nem figyeltem ra, hogy milyen IP, csak a jol bevalt szokas.
De az en ujabb otletem szerintt mar a halo moge se latnak be.
Ennyi.
Amugy koszi.

sot meg ha nagyon akarnad akkor meg lehet csinalni ugy, hogy vagy a szerverrel vagy a klienssel fel mountolod a masikat es a ezt a szerverrrel csinalod akkor amit a kliensen keszitettel azt cp-zed be a felhasznalo mappajaba vagy ha a klienssel akkor a sajat felhsznalodat mountolod es abba dolgozol es akkor akar windowst is hasznalhatsz.
Ennyi. :D

1 kérdés? nem lenne egyszerűbb a kacsabacsi könyvtár tartalmát is a külső szerveren tárolni?
Biztonsági szemponból mindenféleképpen. szvsz.

Szerintem a megoldás a következő:
a külső xy.com/kacsabacsi könyvtárat apachal redirektáltatod egy másik portra, a másik portot pedig iptablessel elzavarod az adott lokális ip irányába.
valahogy így:
iptables -t nat -A PREROUTING -p tcp -s <külső ip> --dport <az a port, ahova redirektáltál> -j DNAT --to <belső ip cím>:<belső port>

a megoldást nem próbáltam ki (fejből írtam :) ) , de szvsz vmi hasonlónak műxenie kell...

Hali,
Ha mindenképpen ragaszkodsz ahhoz, hogy a KACSA könyvtár a nem routolható címen legyen akkor meg lehet oldani így is:

Installálsz egy apache ot a 192.168.1.21 szerverre, aminek pl.
a DocumentRoot ja a rajta levő KACSA könyvtár.

A "külső " gépeden az apache-ba ProxyPass (és esetleg ProxyPassReverse) használata.

Virtualhost esetén ez így nézne ki pl:

<VirtualHost 81.196.37.3:80>
...
ServerName www.xy.com
ProxyPass /KACSA http://192.168.1.21:80
ProxyPassReverse /KACSA http://192.168.1.21:80
...
<\VirtualHost>

Kell hozzá mod_proxy az Apache-ba, de a ProxyRequests Off
legyen bekapcsolva(!!!)

A működése:

Kliens lekéri a www.xy.com/KACSA könyvtárat, a szerver továbbítja a kérést (mint egy proxy) a 192.168.1.21 szervernek
Fontos, hogy a KACSA alól kiszolgált URLek ne tartalmazzanak olyan linkeket, ami a 192.168.1.21 címre abszolut módon hivatkozik.
Üdv:
Zwei

<VirtualHost 81.196.37.3:80>
...
ServerName www.xy.com
ProxyPass /KACSA http://192.168.1.21:80
ProxyPassReverse /KACSA http://192.168.1.21:80
...
<\VirtualHost>

es a proxyrequest off ra van allitva.

Nem mukodik kivulrol.

Nem mukodik kivulrol.

Gondolom a 192.168.1.21 80 as portja elérhető a külső szerverről.

Hmm.. lehet, hogy a ProxyPass os sor végére kell egy / jel is.
Szal, probald ki ezt a ket sort:

ProxyPass /KACSA http://192.168.1.21/
ProxyPassReverse /KACSA http://192.168.1.21/

[quote:55915fd667="zwei"]Hali,
Ha mindenképpen ragaszkodsz ahhoz, hogy a KACSA könyvtár a nem routolható címen legyen akkor meg lehet oldani így is:

Installálsz egy apache ot a 192.168.1.21 szerverre, aminek pl.
a DocumentRoot ja a rajta levő KACSA könyvtár.

A "külső " gépeden az apache-ba ProxyPass (és esetleg ProxyPassReverse) használata.

Virtualhost esetén ez így nézne ki pl:

<VirtualHost 81.196.37.3:80>
...
ServerName www.xy.com
ProxyPass /KACSA http://192.168.1.21:80
ProxyPassReverse /KACSA http://192.168.1.21:80
...
<\VirtualHost>

Kell hozzá mod_proxy az Apache-ba, de a ProxyRequests Off
legyen bekapcsolva(!!!)

A működése:

Kliens lekéri a www.xy.com/KACSA könyvtárat, a szerver továbbítja a kérést (mint egy proxy) a 192.168.1.21 szervernek
Fontos, hogy a KACSA alól kiszolgált URLek ne tartalmazzanak olyan linkeket, ami a 192.168.1.21 címre abszolut módon hivatkozik.
Üdv:
Zwei

Szasz
1. Megmondta mar az elejen, hogy van apache a belso gepen.
2. Minek ilyen bonyolu lta csinalod?
3. Vannak sokkal egyszerubb megoldasok pl.: az enyem.
4. Nem akartam nagykepu lenni.
5. nem szemrehanyas csak velemeny. az uzenentem.
6.End

7. Hello

Sikerult megoldanom a Redirect-t. Sajnos nem az apache-bol, hanem iptables segitsegevel.

A megoldas:
iptables -t nat -A PREROUTING -p tcp -m tcp -d 81.196.37.3 -dport 98 -j DNAT --to-destination 192.168.1.21:80

a jelentese: a 81.196.37.3 98 portja at van iranyitva a 192.168.1.1 80 -s portjara

es most ugy muxik:
www.xy.com:98

[quote:9af848ceb4="mrbond"]1 kérdés? nem lenne egyszerűbb a kacsabacsi könyvtár tartalmát is a külső szerveren tárolni?
Biztonsági szemponból mindenféleképpen. szvsz.

Igen!
Ez biztos.
Nem is ertem minek akar masik valtozatot.
De minek parameterezni az IPtablest, hogy ha egy egyszeruen meg lehetett volna oldani ahogy en mondtam:
[quote:9af848ceb4="balage2"]Es Szerinetm igy is lehet:
Az APACHe-t beallitod, hogy legyen public_html
ugy pakolsz a kacsaba, hogy a serveren a felhsznalo
public_html-jebe packolod az oldalt, es ugy ered el kivulrol, hogy
www.xy.com/~kacsa
es abban az index.html-t latod.
Es kesz

aztan pedig ezt:

A belso IP-ju geppel bemountolod a serveren a kacsa felhsznalot es oda cp-zed az oldalt.
Serintem az a legegyszerubb megolda, de hagy valogasson.

[quote:f72ba0c3a0="kacsa"]Sikerult megoldanom a Redirect-t. Sajnos nem az apache-bol, hanem iptables segitsegevel.

A megoldas:
iptables -t nat -A PREROUTING -p tcp -m tcp -d 81.196.37.3 -dport 98 -j DNAT --to-destination 192.168.1.21:80

a jelentese: a 81.196.37.3 98 portja at van iranyitva a 192.168.1.1 80 -s portjara

es most ugy muxik:
www.xy.com:98

ugye mondtam :) én már csináltam ilyet
ezt még egy kissé elegáncsosíthatod is :)

Hogy erted az elegáncsosíthatast???

[quote:eac6790af9="zwei"]

Proxyrequest On vagy Off kelle legyen a httpd.conf-ban

Azért kell OFF ra állítani, hogy ne tudják a gépet anonym proxy szervernek használni a neten. A ProxyPass működése független tőle.

Fiygelj!
MInek bemaszni a belso halora?
sokkal jobbb hogyha a szerveren a /var/www/html-be csinalsz egy kacsa mappat.
es igy mar nincsen bent a belso halon.
sokkal biztonsagosabb.
Nem eri meg a felelmet, hogy mikor tornek be kivulrol, mint hogy csak a szerveren van az osszes cucc.
Ennyi
UI.:nem akartam szemrehanyast tenni (csak mert maskor leugattak, hogy ne ugasssak bele)
End

1. Megmondta mar az elejen, hogy van apache a belso gepen.

Ok, nem voltam elég figyelmes

2. Minek ilyen bonyolu lta csinalod?
3. Vannak sokkal egyszerubb megoldasok pl.: az enyem.

Ez a legegyszerűbb.
Két sor kell a "külső" apache konfigjába
A ProxyPass, és a ReverseProxyPass. (Ez utóbbi nem is feltétlenül)
Ezeket pontosan erre a feladatra találták ki. (Ha nem hiszed, olvas el az Apache manualját. )

4. Nem akartam nagykepu lenni.

Szerintem nem is voltál
A te megoldásoddal csinálsz egy Apache redirectet egy másik portra, amit aztán IP tablessel átzavarsz a belső gépre.
Az én megoldásom kihagyja az IP tables részt, és a külső Apache egyből a "belsőből" szolgálja ki a kérést.
Szerintem ennél egyszerübb nincs. Csak 1 plussz sor kell az apache configba, mégpedig ez:

ProxyPass /KACSA http://192.168.1.21:80

[quote:8d2ae35df9="kacsa"]Hogy erted az elegáncsosíthatast???

most már játszhatsz az apache redirjével (a 98-as portra) (vagy http headeres redir se rossz), hogy kívülről ne is lehessen látni, hogy nem csak a 80-on van a web.

De tényleg Kacsa, a tudáson kívül ez mire jó neked?

[quote:8d2ae35df9="balage2"]
Fiygelj!
MInek bemaszni a belso halora?
sokkal jobbb hogyha a szerveren a /var/www/html-be csinalsz egy kacsa mappat.
es igy mar nincsen bent a belso halon.
sokkal biztonsagosabb.

már mondtuk neki...

Hat arra jo:

A linuxon a vinyom 6 Gb. Es en felraktam a webre vagy 100 filmet. es az az igazsag, hogy nem fer el a 6 GB vinyon...

MInek bemaszni a belso halora?
sokkal jobbb hogyha a szerveren a /var/www/html-be csinalsz egy kacsa mappat.
es igy mar nincsen bent a belso halon.
sokkal biztonsagosabb.
Nem eri meg a felelmet, hogy mikor tornek be kivulrol, mint hogy csak a szerveren van az osszes cucc.

Hogyan tudnak betorni a belso halora???

[quote:84a67e8019="kacsa"]
Hogyan tudnak betorni a belso halora???

sajnos számtalan módja lehet neki...
ha warezolszm, akkor + sokkal nagyobb veszélynek leszel kitéve...

én biztos nem tenném így.
szvsz keress más megoldást!