Hallo, vielleicht kann mir ja jemand einen Tip geben. Aktuell läuft mein Zope-Server auf Port 8080. Zusätzlich soll Zope jetzt aber auf 9080 lauschen, dort aber nur per ssl erreichbar sein. Hintergrund: Ich will eigentlich nur per https arbeiten, sitze aber teilweise in Netzten die https nur auf Port 443 zulassen. 443 ist aber in meinem Netz bereits anderweitig für einen anderen Webserver in Gebrauch. Der Non-SSL Zugang wird bereits in meiner Firewall durch eine Regel überwacht. Auf gut Deutsch: Alles was eine Non-SSL-Verbindung aufbauen will und nicht von einer bestimmten IP kommt wird geblockt. Danke für Tips
Hallo Ralf, hallo Leute, Am Mittwoch, 9. November 2005 13:22 schrieb Ralf Prengel:
vielleicht kann mir ja jemand einen Tip geben. Aktuell läuft mein Zope-Server auf Port 8080. Zusätzlich soll Zope jetzt aber auf 9080 lauschen, dort aber nur per ssl erreichbar sein.
Hintergrund: Ich will eigentlich nur per https arbeiten, sitze aber teilweise in Netzten die https nur auf Port 443 zulassen. 443 ist aber in meinem Netz bereits anderweitig für einen anderen Webserver in Gebrauch.
Der Non-SSL Zugang wird bereits in meiner Firewall durch eine Regel überwacht. Auf gut Deutsch: Alles was eine Non-SSL-Verbindung aufbauen will und nicht von einer bestimmten IP kommt wird geblockt.
Gegenvorschlag ;-) Was hältst Du von einem "SSL-Proxy"? Einfach in der Apache-Config des https-vHosts folgendes eintragen: ProxyPass /zope http://localhost:8080 ProxyPassReverse /zope http://localhost:8080 Du kannst dann von außen ganz normal per SSL (Port 443) auf Apache zugreifen und dieser leitet alle Anfragen für /zope an Port 8080 weiter (zwar unverschlüsselt, aber dieser Teil bleibt ja auf localhost beschränkt.) Einziges mögliches Problem: Falls Zope Links mit absoluten URLs liefert, fehlt vermutlich das /zope vornedran. Relative Links funktionieren problemlos. -> einfach testen ;-) Gruß Christian Boltz -- Und dann kommt man sich auch noch ziemlich dämlich vor, seine alte ATA-5-Platte mit einem Board zu verbinden, auf dem 4 S-ATA-Anschlüsse drauf sind. Formel-1 in der Garage. :-) [Ratti in suse-linux]
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Christian Boltz wrote: .
Gegenvorschlag ;-)
Was hältst Du von einem "SSL-Proxy"? Einfach in der Apache-Config des https-vHosts folgendes eintragen:
ProxyPass /zope http://localhost:8080 ProxyPassReverse /zope http://localhost:8080
Du kannst dann von außen ganz normal per SSL (Port 443) auf Apache zugreifen und dieser leitet alle Anfragen für /zope an Port 8080 weiter (zwar unverschlüsselt, aber dieser Teil bleibt ja auf localhost beschränkt.)
Die 443 ist einen anderen Server in Betrieb. Da ich mit dynamischen IPs arbeite kann ich 443 schlecht für zwei verschiedene Zielsysteme verwenden. Oder sehe ich da was falsch. Gruß -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFDdESmgRRKXJrQjTsRAhSaAJ0eVuOaURCfifBDPbT4XR10m/GeAwCfahnp J+vWg6NGV8IvmH23fVnqucE= =JVlt -----END PGP SIGNATURE-----
Hallo Ralf, hallo Leute, Am Freitag, 11. November 2005 08:13 schrieb Ralf Prengel:
Christian Boltz wrote:
ProxyPass /zope http://localhost:8080 ProxyPassReverse /zope http://localhost:8080
Du kannst dann von außen ganz normal per SSL (Port 443) auf Apache zugreifen und dieser leitet alle Anfragen für /zope an Port 8080 weiter (zwar unverschlüsselt, aber dieser Teil bleibt ja auf localhost beschränkt.)
Die 443 ist einen anderen Server in Betrieb. Da ich mit dynamischen IPs arbeite kann ich 443 schlecht für zwei verschiedene Zielsysteme verwenden. Oder sehe ich da was falsch.
Es kommt darauf an, ob Du Deinem internen Netz vertraust ;-) Obige ProxyPass-Anweisungen kannst Du durchaus auch mit sowas wie "server.intern" statt "localhost" verwenden - allerdings geht der Traffic zwischen Apache und Zope unverschlüsselt durch Dein internes Netzwerk. Note: Möglicherweise funktioniert auch ProxyPass /zope https://server.intern:8080 (also eine Weiterleitung per https) - ich habe das nie getestet. Da Du anscheinend noch nie mit Reverse Proxies zu tun hattest, hier noch ein kleines Ablaufdiagramm: Zugriff auf externe IP, Port 443 | \ / wird von Deinem Router weitergeleitet auf v Server mit Apache, 443 | \ / spielt den Proxy für v Zope Von außen greifst Du dann auf https://<externe IP>:443/zope/ zu und nutzt den Apache als Proxy. Ist es jetzt klarer? Gruß Christian Boltz -- "And 1.1.81 is officially BugFree(tm), so if you receive any bug-reports on it, you know they are just evil lies." [Linus Torvalds]
participants (3)
-
Christian Boltz
-
Ralf Prengel
-
Ralf Prengel