URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67433
[ Назад ]
Исходное сообщение
"Apache и проброска во внутреннюю сеть."
Отправлено harlan , 07-Июл-06 12:25 
Есть гейт следующей конфигурации:
eth0: A.B.C.D смотрит в "мир"
eth1: 192.168.0.1
На нём же установлен Apache 2.2 (для любителей пустого трёпа: Я знаю, что так делать не хорошо, но принцип "одна служба - один хост" в данный момент не применим).
В DNS для зоны "domain.dm" прописаны следующие записи:
www IN A A.B.C.D
web IN CNAME www

Во внутренней сети есть машина 192.168.0.2 на которой так же установлен Apache (обзовём её webserver).
Мне необхоимо сделать так, чтобы при обращении http://www.domain.dm/ отвечал Apache на гейте, а при обращении http://web.domain.dm/ отвечал Apache на webserver'е.

Как можно добиться такого решения?
Существует ли решение, кроме как разнести их по портам и делать DNAT?

Содержание
Сообщения в этом обсуждении
"Apache и проброска во внутреннюю сеть."
Отправлено Павел , 07-Июл-06 12:33 
>Есть гейт следующей конфигурации:
>eth0: A.B.C.D смотрит в "мир"
>eth1: 192.168.0.1
>На нём же установлен Apache 2.2 (для любителей пустого трёпа: Я знаю,
>что так делать не хорошо, но принцип "одна служба - один
>хост" в данный момент не применим).
>В DNS для зоны "domain.dm" прописаны следующие записи:
>www IN A A.B.C.D
>web IN CNAME www
>
>Во внутренней сети есть машина 192.168.0.2 на которой так же установлен Apache
>(обзовём её webserver).
>Мне необхоимо сделать так, чтобы при обращении http://www.domain.dm/ отвечал Apache на гейте,
>а при обращении http://web.domain.dm/ отвечал Apache на webserver'е.
>
>Как можно добиться такого решения?
>Существует ли решение, кроме как разнести их по портам и делать DNAT?
>
хм... а че бы в бинде не прописать то?
типо

web IN 192.168.0.2

"Apache и проброска во внутреннюю сеть."
Отправлено harlan , 07-Июл-06 12:57 
>хм... а че бы в бинде не прописать то?
>типо
>
>web IN 192.168.0.2


Это должно видиться "из-вне", а твоё предложение сработает только для запросов из локалки.

"Apache и проброска во внутреннюю сеть."
Отправлено _KAV_ , 07-Июл-06 13:17 
>Это должно видиться "из-вне", а твоё предложение сработает только для запросов из
>локалки.
Virtual hosts + mod_proxy ?
"Apache и проброска во внутреннюю сеть."
Отправлено harlan , 20-Июл-06 14:35 
Задача становится ещё извращенее.
Пробрасывать надо протокол https (порт 443).

Какие могут быть предложения?
Пожалуйста, расскажите, как пользоваться модулем mod_proxy?

"Apache и проброска во внутреннюю сеть."
Отправлено harlan , 21-Июл-06 16:07 
Сделал следующее

На web.domain.kz (192.168.0.2) сгенерировал клиентский сертификат и приватный ключ в одном файле и передал его на www.domain.kz где положил его в /var/lib/ssl/certs/Proxy.crt

В апаче на www.domain.kz прописал следующее:

<VirtualHost *:443>
ServerName                      web.domain.dm:443
SSLEngine                       Off
SSLProxyEngine                  On
SSLProxyMachineCertificateFile  /var/lib/ssl/certs/Proxy.crt
ProxyRequests                   On
ProxyVia                        On
ProxyPass                       /       https://192.168.0.2/
ProxyPassReverse                /       https://192.168.0.2/
ProxyPreserveHost               On
</VirtualHost>


Пробую браузером подключиться к https://web.domain.dm/ и получаю следующее:
1. Клиент получает сертификат от www.domain.kz
2. Прокси общается с web.domain.dm используя свой сертификат (Proxy.crt)
3. Сертификат выданный клиенту от web.domain.kz не используется.
4. Клиент на сервере опознаётся как "proxy", что не есть гуд, так как должен опознаваться как сам клиент.

Подскажите, пожалуйста, как победить эту беду?