Bonjour

Je voudrais mettre sur le même réseau local (relié à internet par
une Livebox) un serveur Linux-Apache et un Win2000-IIS.
J'ai plusieurs serveurs virtuels déclarés sur Apache.
Les requêtes sur le port 80 arriveront sur Linux. J'aimerais que les
requêtes concernant IIS (celles pour lesquelles il n'y a pas de
serveur virtuel) soient redirigées dans le réseau local vers IIS.
Y a-t-il un moyen de faire ça avec Apache ?

Jerome

Jerome a écrit :
> Je voudrais mettre sur le même réseau local (relié à internet par
> une Livebox) un serveur Linux-Apache et un Win2000-IIS.
> J'ai plusieurs serveurs virtuels déclarés sur Apache.
> Les requêtes sur le port 80 arriveront sur Linux. J'aimerais que les
> requêtes concernant IIS (celles pour lesquelles il n'y a pas de
> serveur virtuel) soient redirigées dans le réseau local vers IIS.
> Y a-t-il un moyen de faire ça avec Apache ?

Oui, il faut créer un serveur virtuel par défaut, qui fera une
redirection vers le serveur IIS.
Les autres serveurs virtuels nommés seront servis par Apache.

A+

Merci pour la réponse, je cherchais effectivement dans ce sens. Mais
concrètement, comment configurer la redirection dans les directives
VirtualHost ?

On Tue, 23 Aug 2005 04:03:31 -0700, Jerome wrote:

> Merci pour la réponse, je cherchais effectivement dans ce sens. Mais
> concrètement, comment configurer la redirection dans les directives
> VirtualHost ?

http://httpd.apache.org/docs/1.3/mod....html#redirect

--
William.

Jerome a écrit :
> Merci pour la réponse, je cherchais effectivement dans ce sens. Mais
> concrètement, comment configurer la redirection dans les directives
> VirtualHost ?

Par exemple en supposant que le serveur IIS a l'adresse 192.168.1.2 :

NameVirtualHost 192.168.1.1:80

<VirtualHost 192.168.1.1:80>
ServerName www.toto.com
ProxyPass / http://192.168.1.2/
[...]
</VirtualHost>

<VirtualHost 192.168.1.1:80>
ServerName www.abcd.net
[...]
</VirtualHost>

A+

Jerome a écrit :
> Bonjour
>
> Je voudrais mettre sur le même réseau local (relié à internet par
> une Livebox) un serveur Linux-Apache et un Win2000-IIS.
> J'ai plusieurs serveurs virtuels déclarés sur Apache.
> Les requêtes sur le port 80 arriveront sur Linux. J'aimerais que les
> requêtes concernant IIS (celles pour lesquelles il n'y a pas de
> serveur virtuel) soient redirigées dans le réseau local vers IIS.
> Y a-t-il un moyen de faire ça avec Apache ?
>
> Jerome
>
Bonjour à Tous
Je profite du poste pour soumettre mon soucis qui est le même à un
détail prés.
Je suis dans la même config, Apache étant accessible depuis l'extérieur
via une ip fixe et IIS ayant une ip locale.

Si je dit à Apache de rediriger ce qui arrive sur le port 8080 (donc ip
de IIS)vers IIS, cela marche trés bien en local. Le hic est que quand
c'est une connexion externe, je me fais jeter, car Apache me redirige
vers l'IP LOCALE de IIS et cela plante (snif).

Une idée me serait d'un grand secours.

Merci d'avance et Bien le Bonjour de Corse

Corsica wrote:
>
> Bonjour à Tous
> Je profite du poste pour soumettre mon soucis qui est le même à un
> détail prés.
> Je suis dans la même config, Apache étant accessible depuis l'extérieur
> via une ip fixe et IIS ayant une ip locale.
>
> Si je dit à Apache de rediriger ce qui arrive sur le port 8080 (donc ip
> de IIS)vers IIS, cela marche trés bien en local. Le hic est que quand
> c'est une connexion externe, je me fais jeter, car Apache me redirige
> vers l'IP LOCALE de IIS et cela plante (snif).
>
> Une idée me serait d'un grand secours.
>

Bonsoir,

Lire le post de Snow Star juste au dessus. L'utilisation de mod_proxy
est la solution.

A+

--
Séb

Sébastien Bourgasser <sebNO@SPAManpsedic.org.invalid> writes:

> Lire le post de Snow Star juste au dessus. L'utilisation de mod_proxy
> est la solution.

je suis très intéressé par cette solution, mais j'ai des doutes sur
mod_proxy qui passe pour être un truc assez dangereux qui peut
transformer la machine en proxy ouvert à tous vents. (il me semble que
ça été utilisé à plusieurs reprises l'année dernière pour des attaques)

Et la doc Apache, j'ai du mal.

Alors quelqu'un aurait une doc un peu moins ésotérique que celle
d'Apache pour mettre en place mod_proxy sans risque ?

--
CHC

Christophe Cuq wrote:
> je suis très intéressé par cette solution, mais j'ai des doutes sur
> mod_proxy qui passe pour être un truc assez dangereux qui peut
> transformer la machine en proxy ouvert à tous vents. (il me semble que
> ça été utilisé à plusieurs reprises l'année dernière pour des attaques)
>

Bonsoir,

Comme beaucoup de programmes... des failles sont trouvées... et des
mises à jour sont faites. Il n'y a pas plus de risques qu'avec un autre
module, il faut se tenir à jour.

Pour l'utilisation, 2 directives suffisent pour la plupart des cas:
proxypass et proxypassreverse.

<http://httpd.apache.org/docs/1.3/mod/mod_proxy.html#proxypassreverse>

A+

--
Séb

Le Tue, 23 Aug 2005 23:02:52 +0200, Christophe Cuq a écrit :
> Alors quelqu'un aurait une doc un peu moins ésotérique que celle
> d'Apache pour mettre en place mod_proxy sans risque ?

Assurez-vous de bien avoir
ProxyRequests off
et ca vous permettra d'utiliser Apache en reverse proxy, sans craindre
qu'il soit exploité en proxy.

--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Le Tue, 23 Aug 2005 23:27:32 +0200, Sébastien Bourgasser a écrit :
> Comme beaucoup de programmes... des failles sont trouvées... et des
> mises à jour sont faites. Il n'y a pas plus de risques qu'avec un autre
> module, il faut se tenir à jour.

Je ne suis pas d'accord, ce module est par construction plus dangereux,
car si mal configuré votre serveur est un proxy ouvert, exploité par
tout le monde pour envoyer du spam ou lancer d'autres attaques.
Si vous configurez mal la majorité des autres modules, votre serveur ne
fonctionne pas correctement, mais pour autant on ne peut pas l'exploiter
pour quoi que ce soit.

Ps: cette discussion n'a rien à voir avec linux.

--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Christophe Cuq a écrit :
> je suis très intéressé par cette solution, mais j'ai des doutes sur
> mod_proxy qui passe pour être un truc assez dangereux qui peut
> transformer la machine en proxy ouvert à tous vents. (il me semble que
> ça été utilisé à plusieurs reprises l'année dernière pour des attaques)

Attention comme ça a été indiqué à préciser "ProxyRequests Off" afin de
ne pas agir en tant que proxy pour des requêtes externes.

Sinon on peut utiliser mod_rewrite qui fait la même chose avec une
syntaxe plus complexe (et bien plus puissante par ailleurs) :
RewriteRule ^(.*)$ http://192.168.1.2/$1 [P,L]
fait la même chose que :
ProxyPass / http://192.168.1.2/

J'utilise ce genre de mécanisme pour l'hébergement de sites : les
serveurs Apache en frontal font du proxy vers des serveurs applicatifs
java ou autres en interne.
RAS du point de vue fiabilité et sécurité.

A+

Le Wed, 24 Aug 2005 14:43:17 +0200, Snow Star a écrit :
> Sinon on peut utiliser mod_rewrite qui fait la même chose avec une
> syntaxe plus complexe (et bien plus puissante par ailleurs) :
> RewriteRule ^(.*)$ http://192.168.1.2/$1 [P,L]

Ca fait pas des requêtes avec double slash, vu que $1 commence
nécessairement par / ?

> fait la même chose que :
> ProxyPass / http://192.168.1.2/

Mais attention au piège classique: RewriteRule [P] ne fonctionnera que si
le module proxy est bien chargé dans Apache. Donc il faut continuer de
penser à mettre ProxyRequests Off.

--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Patrick Mevzek a écrit :
>>RewriteRule ^(.*)$ http://192.168.1.2/$1 [P,L]
>
>
> Ca fait pas des requêtes avec double slash, vu que $1 commence
> nécessairement par / ?

Tu as raison, je corrige :
RewriteRule ^(.*)$ http://192.168.1.2$1 [P,L]

> Mais attention au piège classique: RewriteRule [P] ne fonctionnera que si
> le module proxy est bien chargé dans Apache. Donc il faut continuer de
> penser à mettre ProxyRequests Off.

Oui!

A+

Patrick Mevzek <pm-N200508@nospam.dotandco.com> writes:

> Assurez-vous de bien avoir
> ProxyRequests off
> et ca vous permettra d'utiliser Apache en reverse proxy, sans craindre
> qu'il soit exploité en proxy.

D'accord. Je mets ça n'importe où dans le hhtpd.conf, ou il y a un
emplacement privilégié ?

--
CHC

Snow Star <snowstar@tuxcode.net> writes:

> Attention comme ça a été indiqué à préciser "ProxyRequests Off" afin de
> ne pas agir en tant que proxy pour des requêtes externes.

C'est noté

> Sinon on peut utiliser mod_rewrite qui fait la même chose avec une
> syntaxe plus complexe (et bien plus puissante par ailleurs) :
> RewriteRule ^(.*)$ http://192.168.1.2/$1 [P,L]
> fait la même chose que :
> ProxyPass / http://192.168.1.2/

C'est joli aussi (j'ai vu la correction apportée par Patrick )

> J'utilise ce genre de mécanisme pour l'hébergement de sites : les
> serveurs Apache en frontal font du proxy vers des serveurs applicatifs
> java ou autres en interne.
> RAS du point de vue fiabilité et sécurité.

Je vais regarder ça de plus près aussi

Ça aurait l'avantage de ne pas avoir à activer mod_proxy...

--
CHC

Patrick Mevzek <pm-N200508@nospam.dotandco.com> writes:

> Mais attention au piège classique: RewriteRule [P] ne fonctionnera
> que si le module proxy est bien chargé dans Apache. Donc il faut
> continuer de penser à mettre ProxyRequests Off.

Ah zut, je n'avais pas vu ça.

--
CHC

Le Thu, 25 Aug 2005 22:05:15 +0200, Christophe Cuq a écrit :
>> Assurez-vous de bien avoir
>> ProxyRequests off
>> et ca vous permettra d'utiliser Apache en reverse proxy, sans craindre
>> qu'il soit exploité en proxy.
>
> D'accord. Je mets ça n'importe où dans le hhtpd.conf, ou il y a un
> emplacement privilégié ?

Non, donc en contexte server config c'est l'idéal (en dehors de tout bloc
VirtualHost)... tout en vérifiant qu'il n'y ait pas d'autres
ProxyRequests ailleurs !

Et si vous voulez deux filets de protection, et que vous y avez accès,
configurez votre firewall pour interdire à Apache les connexions
*sortantes* (avec la machine IIS comme exception), ainsi même s'il
devient par mégarde proxy un jour, il ne pourra se connecter nulle part.

--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>

Patrick Mevzek <pm-N200508@nospam.dotandco.com> writes:

> Non, donc en contexte server config c'est l'idéal (en dehors de tout bloc
> VirtualHost)... tout en vérifiant qu'il n'y ait pas d'autres
> ProxyRequests ailleurs !

Très bien, ça a l'air de fonctionner parfaitement.

Sauf que le serveur Apache à l'autre bout répond par un magnifique
403. J'ai l'impression que le tomcat qui est dessus n'aime pas
beaucoup les proxypass (ça fonctionne parfaitement en interne).

Et même problème avec rewriterule, sauf que là j'ai unn 404.

Comme si tomcat ne savait pas répondre sur les 2 ports sur lesquels
écoute Apache.

Je vais me replonger là dedans

Merci encore à vous deux.

--
CHC

Christophe Cuq <christophe@cuq.org> writes:

> Très bien, ça a l'air de fonctionner parfaitement.

Et ça fonctionne même parfaitement, suffit de ne pas tapper les
fichiers de config avec des gants de boxe.

Donc, merci à tous les deux

--
CHC