Van egy gép, amin a https porton figyel egy httpd (lighttpd konkrétan)
Van egy másik gép, amin a https porton figyel egy tcp-re konfigurált OpenVPN.
Az lenne az igény, hogy a két gép legyen egy... de ugyanaz a port.
Vagyis jön valami a https portra, és az vagy https kérés, vagy openvpn. Ugye ez alapból nem megy.
Most gondolkozom, hogy valahogy mégis meg lehet-e oldani.
Nem tudom, van-e valami olyan jellemzője a kétféle forgalomnak, ami alapján ketté lehet választani, és ha igen, hogyan.
Pl. felteszek oda valami proxyt, és az ha nem tudja értelmezni, továbblöki az openvpn-nek (mondjuk localhoston már más porton ott figyelne)
A VPN saját kézben levő linuxos kliensekről jön, szóval talán azt is lehet, hogy megjelölöm a kimenő openvpn forgalmat iptables-szel (nem tudom, van-e olyan jelölés, ami át is megy a hálózaton, tehát valami fejlécbe beállítani valami bitet), és a másik oldal ennek alapján átirányíthatná másik portra.
Na, kb. eddig jutottam el, ilyesmi ötleteim támadtak, de nem tudom, hogy egyáltalán lehet-e, ha igen, merre érdemes elindulni.
Nekem a második, vagyis iptables által megjelölős dolog tetszene a legjobban.
G
- 1224 megtekintés
Hozzászólások
Hali!
Ha csak annyi a kitétel, hogy 1 vason kell lennie akkor akkor akár virtualizálhatnál is.
-----------------------------------------------------------
"... Nem az számít, hogy mennyire vagy jó gitáros hanem, hogy mennyire vagy király." - Slash
- A hozzászóláshoz be kell jelentkezni
Bocs, attól, hogy virtualizálok, mi különbözteti meg az 1.2.3.4 címre a tcp/80 -ra érkező http csomagot az 1.2.3.4 címre, a tcp/80 -ra érkező openvpn csomagtól?
Amúgy esetleg felvenni egy ip alias-t, és a külvilágnak azt kommunikálni, hogy a webszerver 1.2.3.4, az openvpn szerver pedig 5.6.7.8? Ezt már el kell tudnia kezelni egy rendesebb ip-stacknek.
- A hozzászóláshoz be kell jelentkezni
Az a gond, hogy a két gép máshol van, más IP cím tartományban.
Az egy gépre tett szolgáltatások esetén az IP címet nem tudom áthozni.
Az egyik gép esetén elméletileg lehetne venni mellé másik fix IP címet, de pont azt a gépet akarják megszüntetni.
A másik gépnél ez kb. esélytelen. Elméletileg persze lehetséges, gyakorlatilag az ottani hálózati adminokon még egy submission port vagy egy domain port megnyitása sem ment át 1 illetve 2 éve. Nem ellenérvek miatt, csak úgy egyszerűen nem történik meg. Az ilo-t sem csinálták meg nekem másik IP-re (vagy azonos IP-re, más portra).
Szóval erre nem várnék.
- A hozzászóláshoz be kell jelentkezni
A címre válaszolok elsősorban.
Igen, lehet - lásd inetd/tcpmux. Az más kérdés, hogy a konkrét feladat esetén nem tudom mi lenne a megfelelő. Én is valami proxyra gondolok - felteszem az openvpn teljesen egyértelműen más nyelvet beszél mint egy http, de hogy van-e ilyen elosztó, azt kétlem.
Ami pedig az iptables-es bitbillentést illeti - még ha meg is tudod csinálni, eléggé életveszélyesnek tűnik:
- vagy a szabványban funkcióval szereplő bit(ek)et billegtetsz - ekkor ez a baj
- vagy pedig nem definiált, reserved bit(ek)et - no ekkor meg az, hogy tetszőleges oprendszer bármilyen módon használhatja az(oka)t a bite(ke)t, íly módon nem megbízható lesz a dolog.
Szerintem.
- A hozzászóláshoz be kell jelentkezni
Van type of service mező... elméletileg arra jó, hogy lehet azt mondani, hogy pl. interaktív, vagy bulk, vagy ilyesmi.
Csak azt nem tudom, hogy hány bit van, és hogy vajon az akármilyen OS alatt akármilyen browseről érkező kérések esetén hogy szokták ezt beállítani.
Gondolom nem interaktívnak. De persze nincs garancia erre.
G
- A hozzászóláshoz be kell jelentkezni
Wow.
Köszi.
Azt hiszem, ez a megoldás minden szempontból jó lesz. :-)
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam.
Kiválóan működik.
G
- A hozzászóláshoz be kell jelentkezni