---

Hvordan få jeg 2 webserver til at kører bag en firewall på kun et
ip-nummer ???

Det skal begge bruge port 80

Hvilke produkt , herunder software skal jeg bruge ???

Og hvordan gør jeg det ???

På forhånd tak

Med venlig Hilsen

René Nielsen

http://safehouse.mine.nu , her finder man hver dag nyheder og nyt indenfor:
jobs, finans, avis, sikkerhed, it , jura , hardware, linux, asp, perl , cgi
html, mac, sport, ringetoner, logoer, og de bedste søgemaskiner

---

"rrn@rrn.mine.nu" wrote:
>
> Hvordan få jeg 2 webserver til at kører bag en firewall på kun et
> ip-nummer ???
>
> Det skal begge bruge port 80
>
> Hvilke produkt , herunder software skal jeg bruge ???
>
> Og hvordan gør jeg det ???

Det lyder som om du er ved at prøve på noget, der ikke kan
lade sig gøre. Du kan sagtens sætte to web servere op bagved
en firewall, og du kan også godt placere begge på port 80
på hver sin lokale IP addresse. Du kan sætte firewallen til
at forwarde sin egen port 80 til en af webserverne. Men
hvis du har to navne, der refererer til samme IP addresse,
kan firewallen umuligt vide hvilket af de to navne, der er
i brug.

Det er muligt, at lade firewallen sende forbindelser
skiftevis til de to servere. Det kan bruges til load
balancing, men man kunne risikere, at firewallen blev en
flaskehals i stedet.

Hvis du har to navne, der refererer til samme IP addresse,
kan du anvende en webserver og sætte den til at køre med
virtuelle hosts. Det kan du f.eks. gøre med Apache.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:
>
> Hvis du har to navne, der refererer til samme IP addresse,
> kan du anvende en webserver og sætte den til at køre med
> virtuelle hosts. Det kan du f.eks. gøre med Apache.

Alternativt kan du bruge en HTTP proxy server, hvilket
måske er lidt nærmere på, hvad du har forestillet dig.
Lad firewallen forwarde port 80 til en proxyserver,
eller kør proxyserveren på firewallen. Proxyserveren
skal have navne og private IP addresser stående i sin
egen host fil, så den ikke slår den offentlige IP
addresse op med DNS.

SVJV kan Apache også bruges som proxyserver.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

On Sat, 26 Jan 2002 16:06:58 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Kasper Dupont wrote:
>>
>> Hvis du har to navne, der refererer til samme IP addresse,
>> kan du anvende en webserver og sætte den til at køre med
>> virtuelle hosts. Det kan du f.eks. gøre med Apache.
>
>Alternativt kan du bruge en HTTP proxy server, hvilket
>måske er lidt nærmere på, hvad du har forestillet dig.
>Lad firewallen forwarde port 80 til en proxyserver,
>eller kør proxyserveren på firewallen. Proxyserveren
>skal have navne og private IP addresser stående i sin
>egen host fil, så den ikke slår den offentlige IP
>addresse op med DNS.

Det jeg er ude efter er nå en skrive i sin browser
http://den_danske_mamma.safehouse.mine.nu så ryger vedkommen over på
en anden server. Som ta´ sig af alle søge job.

Istedfor for at bruger at main server http://safehouse.mine.nu til at
at klare alle søge jobbene .

Kan en proxy også finde ud af det det???

hvis jeg fortælle den at den_danske_mamma.safehouse.mine.nu skal gå
til xx.yyy..bbb og safehouse.mine.nu skal gå til xx.yyy..aaa på
den intern lan ????




Med venlig Hilsen

René Nielsen

http://safehouse.mine.nu , her finder man hver dag nyheder og nyt indenfor:
jobs, finans, avis, sikkerhed, it , jura , hardware, linux, asp, perl , cgi
html, mac, sport, ringetoner, logoer, og de bedste søgemaskiner

---

rrn@rrn.mine.nu wrote:
>
> hvis jeg fortælle den at den_danske_mamma.safehouse.mine.nu skal gå
> til xx.yyy..bbb og safehouse.mine.nu skal gå til xx.yyy..aaa på
> den intern lan ????
>
> Kan en proxy også finde ud af det det???

den_danske_mamma.safehouse.mine.nu og safehouse.mine.nu skal begge
resolve til ip-adressen på din webserver. Du laver nu to virtuelle servere,
der hver har proxydirektiver, hvor den ene peger på een interne server,
og den anden peger på en anden interne server.

Fx

<VirtualHost ip.adr.på.proxy'en>
SSLDisable
DocumentRoot /data/htdocs/den_danske_mamma
ServerName den_danske_mamma.safehouse.mine.nu
<IfModule mod_proxy.c>
ProxyRequests On
ProxyPass / http://xxx.yyy.zzz.aaa/
</IfModule>
</VirtualHost>

<VirtualHost ip.adr.på.proxy'en>
SSLDisable
DocumentRoot /data/htdocs/safehouse
ServerName safehouse.mine.nu
<IfModule mod_proxy.c>
ProxyRequests On
ProxyPass / http://xxx.yyy.zzz.bbb/
</IfModule>
</VirtualHost>


Cirka.

Vh,

Ole

--
power-lusers (read: running latest and greatest from Freshmeat,
insecure at extreme, owner does everything logged in as root cause
he finally got root on a Unix box and that makes his dick way longer).
-- Alexander Viro on comp.security.unix

---

Kasper Dupont wrote:

> Det lyder som om du er ved at prøve på noget, der ikke kan
> lade sig gøre. Du kan sagtens sætte to web servere op bagved
> en firewall, og du kan også godt placere begge på port 80
> på hver sin lokale IP addresse. Du kan sætte firewallen til
> at forwarde sin egen port 80 til en af webserverne. Men
> hvis du har to navne, der refererer til samme IP addresse,
> kan firewallen umuligt vide hvilket af de to navne, der er
> i brug.

IP tables, til Linux har en match regel for patterns.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
wrote:

>Kasper Dupont wrote:
>
>> Det lyder som om du er ved at prøve på noget, der ikke kan
>> lade sig gøre. Du kan sagtens sætte to web servere op bagved
>> en firewall, og du kan også godt placere begge på port 80
>> på hver sin lokale IP addresse. Du kan sætte firewallen til
>> at forwarde sin egen port 80 til en af webserverne. Men
>> hvis du har to navne, der refererer til samme IP addresse,
>> kan firewallen umuligt vide hvilket af de to navne, der er
>> i brug.
>
>IP tables, til Linux har en match regel for patterns.

Ja, men det hostnavn man vil søge på, kommer jo først forbi på
ledningen (i en "Host"-header) efter at tcp-forbindelsen er
etableret og der er udvekslet data. Og på det tidspunkt har
iptables ingen chance for at flytte forbindelsen til en anden
maskine.

Hvis firewallen på en eller anden vis skelne allerede når den
indledende SYN-pakke kommer forbi, så kunne det lade sig gøre.
Men her har man brug noget lag 7-funktionalitet (proxy).

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:

>>>Det lyder som om du er ved at prøve på noget, der ikke kan
>>>lade sig gøre. Du kan sagtens sætte to web servere op bagved
>>>en firewall, og du kan også godt placere begge på port 80
>>>på hver sin lokale IP addresse. Du kan sætte firewallen til
>>>at forwarde sin egen port 80 til en af webserverne. Men
>>>hvis du har to navne, der refererer til samme IP addresse,
>>>kan firewallen umuligt vide hvilket af de to navne, der er
>>>i brug.
>>IP tables, til Linux har en match regel for patterns.
> Ja, men det hostnavn man vil søge på, kommer jo først forbi på
> ledningen (i en "Host"-header) efter at tcp-forbindelsen er


Hvilket krævere endvidere http 1.0 eller nyere.

> etableret og der er udvekslet data. Og på det tidspunkt har
> iptables ingen chance for at flytte forbindelsen til en anden
> maskine.


Jeg kommenterede blot at det for en firewall er umuligt at skeldne
hvilke af de to navne der er i brug.

Er pakken fagmenteret i for små dele kan firewallen heller ikke bruge
match reglen.

Dette er fx også tilfældet for en PIX der interfacer op imod fx
Websense. Websence har en database over forbudte ord, men er pakkerne
fragmenteret op i for små stykker kan PIX'en ikke forhindre disse http
forspørgelser.


> Hvis firewallen på en eller anden vis skelne allerede når den
> indledende SYN-pakke kommer forbi, så kunne det lade sig gøre.


Selvfølgelig :)

> Men her har man brug noget lag 7-funktionalitet (proxy).


fx squid.

---

"Christian E. Lysel" wrote:
>
> Hvilket krævere endvidere http 1.0 eller nyere.

Host headeren er optional i http 1.0, og der findes
http 1.0 klienter, der ikke sender en host header.
Host headeren blev først indført som et krav i http
1.1.

>
> > etableret og der er udvekslet data. Og på det tidspunkt har
> > iptables ingen chance for at flytte forbindelsen til en anden
> > maskine.
>
> Jeg kommenterede blot at det for en firewall er umuligt at skeldne
> hvilke af de to navne der er i brug.

Det er det på det tidspunkt, hvor beslutningen skal
tages. Først på et senere tidspunkt kan firewallen
se hvilket navn, der bruges.

>
> > Men her har man brug noget lag 7-funktionalitet (proxy).
>
> fx squid.

Jeg vil tro, de fleste http proxier kan bruges
til det her, hvis blot de sættes rigtigt op.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

On Sun, 27 Jan 2002 01:31:54 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:


>
>Jeg vil tro, de fleste http proxier kan bruges
>til det her, hvis blot de sættes rigtigt op.

Nu har jeg kikke må mange forskellige proxy , men jeg har ikke fundet
noget i deres manualer over at nedenstående problem.


Ekstern (wan) | Intern net (lan)
|         
|    (danske_mamma.safehouse.mine.nu)
|       Port 80 på Webserver A
|    /
|    /
    firewall ---- proxy server
    |     \
    | \
|    (safehouse.mine.nu)
    |    port 80 Webserver B


Ja jeg ved godt at apache kan løs problem, men jeg kunne tænke mig
om der findes andre der kan , fordi jeg synes ikke rigtig at det
lykkes rigtig for mig .


Jeg har gjort som du skrev . og det var

Proxy server er sat såden :

<VirtualHost ip.adr. på webserver a>
SSLDisable
DocumentRoot /data/htdocs/den_danske_mamma
ServerName den_danske_mamma.safehouse.mine.nu
<IfModule mod_proxy.c>
ProxyRequests On
ProxyPass / http://danske_mamma.safehouse.mine.nu /
</IfModule>
</VirtualHost>



<VirtualHost ip.adr. på Webserver B >
SSLDisable
DocumentRoot /data/htdocs/safehouse
ServerName safehouse.mine.nu
<IfModule mod_proxy.c>
ProxyRequests On
ProxyPass / http://.safehouse.mine.nu /
</IfModule>
</VirtualHost>


har jeg gjort noget forkert eller misforstået noget

Med venlig Hilsen

René Nielsen

http://safehouse.mine.nu , her finder man hver dag nyheder og nyt indenfor:
jobs, finans, avis, sikkerhed, it , jura , hardware, linux, asp, perl , cgi
html, mac, sport, ringetoner, logoer, og de bedste søgemaskiner

---

rrn@rrn.mine.nu wrote:

> Nu har jeg kikke må mange forskellige proxy , men jeg har ikke fundet
> noget i deres manualer over at nedenstående problem.


Prøv at kik på:

http://www.squid-cache.org/Doc/FAQ/FAQ-20.html#what-is-httpd-accelerator

---

Kasper Dupont wrote:

> Host headeren er optional i http 1.0, og der findes
> http 1.0 klienter, der ikke sender en host header.
> Host headeren blev først indført som et krav i http
> 1.1.


Og kræver forsat http/1.0 eller http/1.1.

>>Jeg kommenterede blot at det for en firewall er umuligt at skeldne
>>hvilke af de to navne der er i brug.
> Det er det på det tidspunkt, hvor beslutningen skal
> tages. Først på et senere tidspunkt kan firewallen
> se hvilket navn, der bruges.


Det bør ikke være umuligt at implementere et modul i ip tables der kan
implementere ovenstående.

Et af de store problemer ville være hvis klienten skifte host i den
samme tcp session, dette vil være en god udfordring at implementere :)

---

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
>
> > Host headeren er optional i http 1.0, og der findes
> > http 1.0 klienter, der ikke sender en host header.
> > Host headeren blev først indført som et krav i http
> > 1.1.
>
> Og kræver forsat http/1.0 eller http/1.1.
>
> >>Jeg kommenterede blot at det for en firewall er umuligt at skeldne
> >>hvilke af de to navne der er i brug.
> > Det er det på det tidspunkt, hvor beslutningen skal
> > tages. Først på et senere tidspunkt kan firewallen
> > se hvilket navn, der bruges.
>
> Det bør ikke være umuligt at implementere et modul i ip tables der kan
> implementere ovenstående.

Det er måske muligt, men det skal under alle omstændigheder
implementeres på et højere protokol niveau end iptables
normalt arbejder på. Det kan ikke laves vha. connection
tracking og mangling. Det ville nok være bedre at
implementere det som en feature i khttpd end at gøre det i
iptables. Du er nødt til at tage firewallens egen TCP
implementation i brug.

Lad mig lige prøve at illustrere problemet:
________ __________ ________
| | ----- SYN ---> | | ----- SYN ---> | |
| Klient | <-- SYN ACK -- | Firewall | <-- SYN ACK -- | Server |
|________| ---- HOST ---> |__________| ---- HOST ---> |________|

Problemet her er, at når firewallen skal sende SYN pakken
til serveren, skal den vide hvilken server pakken skal
sendes til. Men klienten sender først pakken med den
oplysning, efter firewallen har sendt SYN ACK pakken
tilbage.

>
> Et af de store problemer ville være hvis klienten skifte host i den
> samme tcp session, dette vil være en god udfordring at implementere :)

Jeg tror stadig man vil være bedre hjulpet ved at bruge
en proxy, og give proxyen adgang til en nameservice, der
indeholder de lokale IP addresser i stedet for den
offentlige.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

> Det er måske muligt, men det skal under alle omstændigheder
> implementeres på et højere protokol niveau end iptables


Ikke nødvendigvis.

> Lad mig lige prøve at illustrere problemet:
> ________ __________ ________
> | | ----- SYN ---> | | ----- SYN ---> | |
> | Klient | <-- SYN ACK -- | Firewall | <-- SYN ACK -- | Server |
> |________| ---- HOST ---> |__________| ---- HOST ---> |________|
>
> Problemet her er, at når firewallen skal sende SYN pakken
> til serveren, skal den vide hvilken server pakken skal
> sendes til. Men klienten sender først pakken med den
> oplysning, efter firewallen har sendt SYN ACK pakken
> tilbage.


klient sender syn, firewall sender syn ack, klient sender host
oplysninger. Herefter kan firewall tage beslutningen om hvilken server
der skal kontaktes. Dette bør ikke være umuligt at implementere


> Jeg tror stadig man vil være bedre hjulpet ved at bruge
> en proxy, og give proxyen adgang til en nameservice, der
> indeholder de lokale IP addresser i stedet for den
> offentlige.


Helt enig, det er jo det en proxy er bygget til :)

---

On Sat, 26 Jan 2002 15:42:03 +0100, "rrn@rrn.mine.nu"
<rrn@rrn.mine.nu> wrote:

>Hvordan få jeg 2 webserver til at kører bag en firewall på kun et
>ip-nummer ???
>
>Det skal begge bruge port 80
>
>Hvilke produkt , herunder software skal jeg bruge ???
>
>Og hvordan gør jeg det ???

Tak for hjælpen , alle sammen .

Nu kører det bare da ud af. Det tog lidt tid for mig at forstå men man
kan jo ikke altid være så hurtig.

Jeg kan kun sige mange tak. Dejligt at i gad hjælpe mig med det
problem.

Nu skal jeg bare ud og hentede en del server hjem så jeg kan få den
tjeneste op og kører


Jeg bukker mig dybt i respekt


Med venlig Hilsen

René Nielsen

http://safehouse.mine.nu , her finder man hver dag nyheder og nyt indenfor:
jobs, finans, avis, sikkerhed, it , jura , hardware, linux, asp, perl , cgi
html, mac, sport, ringetoner, logoer, og de bedste søgemaskiner

---

On Sun, 27 Jan 2002 17:27:06 +0100, "rrn@rrn.mine.nu"
<rrn@rrn.mine.nu> wrote:

>Nu kører det bare da ud af. Det tog lidt tid for mig at forstå men man
>kan jo ikke altid være så hurtig.

Bare af nysgerrighed, hvilken løsning valgte du?

--
- Peter Brodersen

---

On Sun, 27 Jan 2002 23:05:53 +0100, Peter Brodersen
<professionel@nerd.dk> wrote:

>On Sun, 27 Jan 2002 17:27:06 +0100, "rrn@rrn.mine.nu"
><rrn@rrn.mine.nu> wrote:
>
>>Nu kører det bare da ud af. Det tog lidt tid for mig at forstå men man
>>kan jo ikke altid være så hurtig.
>
>Bare af nysgerrighed, hvilken løsning valgte du?


jeg valgt at bruge den løsning du fortalte min med apache og
ProxyPass, og name based VirtualHost , også satte jeg en intern dns
server op. Isted for at skrive ting host filen

Jeg rode med squid. Men jeg synes ikke at den er hurtig, eller så er
det hardware der ikke er hurtig ( lidt sort humor) nok. Og slet ikke
til det jeg skal bruge den til.

Og har det kørt i et døgn , og det tilbage medlinger jeg har fået fra
brugerne er at de synes at tinge kører meget hurtigere.

Jeg kan i hvert fald se at jeg har mange flere online bruger på, end
jeg havde før. Så noget må kører bedre .

Men det kan også være at jeg er forkert på den.

Du må gerne rette mig , eller hvis du skulle have nogle idé så er de
også velkommen.



Med venlig Hilsen

René Nielsen

http://safehouse.mine.nu , her finder man hver dag nyheder og nyt indenfor:
jobs, finans, avis, sikkerhed, it , jura , hardware, linux, asp, perl , cgi
html, mac, sport, ringetoner, logoer, og de bedste søgemaskiner

---

rrn@rrn.mine.nu wrote:

> Jeg rode med squid. Men jeg synes ikke at den er hurtig, eller så er
> det hardware der ikke er hurtig ( lidt sort humor) nok. Og slet ikke
> til det jeg skal bruge den til.

Squid kører meget hurtigere end apache, ellers har du fejlopsat programmet.