redirection par url

[Tof]

bonjour,

j'ai en dmz 2 serveurs apaches correspondant à 2 nom de domaines differents
comment faire en sorte pour qu'ipcop me dirige le flux port 80 vers serveur 1 si c'est serveur1.com qui est demandé ou vers serveurs2 si c'est serveur2.fr ?

j'ai bien sur fais des recherches sur ce forum; il semble que cette fonction soit lié a du reversproxy...ou alors a du rewrite...ou alors a du redirect...enfin ya de tout, dans tous les sens et c'est pas vraiment clair

j'ai cherché partout un addon capable de faire ca (soit dit en passant, c'est une fonction que l'on trouve quasi toujours sur les firewalls)

bref.., j'ai pas encore trouvé de solution avec ipcop à cette question (qui me parait pourtant legitime)

si quelqu'un a une reponse, je suis preneur

[jdh]

soit dit en passant, c'est une fonction que l'on trouve quasi toujours sur les firewalls

NON ! Cela n'est pas du ressort d'un firewall, c'est plutôt du ressort d'un module applicatif d'aiguillage de flux DANS le protocole http.


OUI ! Cela a été abondamment evoqué sur ce forum. (Cela vient 1 fois par semaine environ !). Des solutions ont été évoquées. Généralement, cela se fait au niveau d'un serveur Apache (IPCOP en a 1) avec des "virtual host" et "reverse-proxy". Un peu de recherche et d'application ?

[ccnet]

La question a encore été traité, certes dans le forum SME mais, fondamentalement, le problème et ses solutions restent identiques.
http://forums.ixus.fr/viewtopic.php?t=40689&postdays=0&postorder=asc&start=15

soit dit en passant, c'est une fonction que l'on trouve quasi toujours sur les firewalls

Non je ne le pense pas.

Bref une distribution, celle que vous préférez, avec un serveur Apache et une configuration reverse proxy fait le travail demandé.
http://www.apachetutor.org/admin/reverseproxies

[Tof]

bof..ca fait des jours que je suis dessus...marche pas. comprend pas, (suis un peu a bout là)
j'ai fouillé partout dans ce forum (la plupart des reponses sont "ca deja ete dit"..avec ca!)

OUI ! Cela a été abondamment evoqué sur ce forum. (Cela vient 1 fois par semaine environ !).

dommage que je ne sois pas capable de devolloper un addon ipcop, parceque la, ya de la demande!!!
un ptit addon ipcop qui fasse juste de la redirection en fonction du header http...le reve!
surtout que ca servirai a pas mal de personnes (au moins une par semaine)

enfin bref, si je pouvais savoir ce qu'il faut rajouter dans httpd.conf pour que un nom de domaine soit reaiguillé vers un serveur et tous les autres vers un autre

au passage, j'ai mis ca :
<VirtualHost *:80>
ServerName test
ServerAlias test
ProxyRequests off
ProxyPass /testcont http://192.168.10.11/controler
ProxyPassReverse /testcont http://192.168.10.11/controler
</VirtualHost>

ben ca fait rien du tout
(jai bien sur restarter apache)

[jdh]

Comme ccnet, je ne vois pas du tout la nécessité de faire un addon ... puisque cette question n'est pas, stricto sensu, du ressort d'un firewall ... Mais faites le donc ...

(La raison est simplissime : si c'est le firewall qui le fait, et qu'il s'administre lui même en http, alors l'administration est presque accessible de l'extérieur !)



Dans le lien donné, par ccnet, il est mentionné "ProxyHTMLLogVerbose On" et "LogLevel Info" pour débugguer (enfin si je n'ai pas rêvé). Cela donne-t-il quelque chose ?

Sur d'autres sites il n'apparait pas la ligne "ProxyRequests Off" qui parait assez étonnante.

De mémoire, je n'ai jamais obtenu de façon immédiate des résultats probants sur les hôtes virtuels et la redirection. J'y suis toujours allé à tâtons ...

Sachant que le apache utilisé par Ipcop est 1.3, il doit bien y avoir, même en français, de la doc sur le sujet sur apache.org (pour la version 1.3 !). Non ? (Je corrige c'est en anglais : http://httpd.apache.org/docs/1.3/vhosts/index.html)

[ccnet]

Dans le guide de survie (sic) de Daniel Lopez, il y a cet exemple:

Code: Tout sélectionner

<VirtualHost 192.168.200.2>
     ServerName www.exemple.com
     DocumentRoot /usr/local/Apache/sites/exemple.com
</VirtualHost>

<VirtualHost 192.168.200.3>
     ServerName www.exemple.net
     DocumentRoot /usr/local/Apache/sites/exemple.net
</VirtualHost>

L'idée générale est :
1. Sur ipcop on redirige tout le traffic du port 80 vers l'ip du proxy apache.
ip publique :80 -> 192.168.200.1:80 (si le proxy est en 192.168.200.1)

2. Un serveur Apache s'ocupe ensuite du dispatching vers 192.168.200.2 et 192.168.200.3 suivant l'url demandée www.exemple.com ou www.exemple.net

Sur cette base je suis parvenu à mes fins avec un problème similaire au votre. Je me souviens aussi ne pas être arrivé directement au bon résultat, il m'avait fallu quelques essais erreurs.

Otez moi d'un doute : vous avez monté un serveur Apache séparé sans essayer de mettre cela dans le httpd.conf d'ipcop ?

[Blutch66]

Bonjour

Pour info, dans ma config, j'ai un serveur Apache dans la DMZ avec un fichier reverse_proxy.conf dans /etc/http/conf.d, avec plusieurs section du type :

Code: Tout sélectionner

<VirtualHost 0.0.0.0:80>
   ServerName support.xxx.com
   RewriteEngine On
   RewriteRule ^/(.*) \http://vt-support.dmz.xxx.com:80/$1 [P]
   ProxyPreserveHost On
   AddDefaultCharset Off
</VirtualHost>


Le "dispatch" se fait donc par FQDN car :
http://forums.ixus.fr/viewtopic.php?t=40697

Mais je sais maintenant que cela est discutable ...

[jdh]

Il est clair qu'avec UNE adresse IP et PLUSIEURS noms de domaine, le flux http (tcp/80) DOIT etre dirigé vers UNE machine qui va dispatcher selon le nom de domaine.


Les questions à se poser :
- quelle version d'apache sur la machine qui récupère le flux (et il vaut mieux que ce soit pas IPCOP !)
- quelles instructions disponibles pour cette version

Ensuite on regarde la doc de la dite version et on tatonne un peu ...



(Je ne vois là que "j'ai vu un truc" et AUCUNE adaptation au contexte, d'ailleurs non précisé !!)

[Blutch66]

(Je ne vois là que "j'ai vu un truc" et AUCUNE adaptation au contexte, d'ailleurs non précisé !!)

Est il possible d'avoir un complément d'explication sur cette remarque ?!

[jdh]

Par exemple, une petite description technique du genre suivant serait intéressante ! (idéalement dès le début)

------------------------------------------------------------
Mon réseau :

- un IPCOP (Red+Orange+Green) : PC Pentium 800 / 1G / 3 cartes realtek 8139
- Red : Freebox en mode bridge avec câble croisé, ip par dhcp
- Orange : 192.168.3.1/255.255.255.0
- Green : 192.168.2.1/255.255.255.0 : quelques PC
- zone DMZ : 2 serveurs (srv1 : PIV 2.8G/1G/80G/Debian 4.0 etch + srv2 : PIV 2.4G/1G/Windows 2003srv/IIS)

Mon objectif :
- srv1 : récup de tous le flux http et dispatch selon domaine (xxx1.dyndns.org + xxx2.dyndns.org affecté à l'ip Red) vers srv1 et srv2.

Remarque :
Srv1 tourne sur Debian 4.0 Etch et dispose d'Apache v2.0.50. Srv tourne sur Win2k3 et utilise IIS6.

-------------------------------------------------------------
(données totalement fantaisistes : c'est un exemple)


Voilà, cela donne des infos et permet d'ajuster nos réponses.

Sinon une recette ne sert à rien SI on est pas dans la même config !

[Tof]

bon, ca y est, ca marche
j'ai la meme config que jdh (ci-dessus)
je me sert du 1er serveur pour dispatcher vers le second si nessaire ou vers des serveurs virtuels locaux dans l'autre cas
a titre indicatif (si ca peut aider) j'avais une mauvaise config des serveurs virtuels (a force de tripatouiller le proxy, je me suis dereglé les conf)
au lieu de faire ca :
<VirtualHost *:80>
ServerName test
ServerAlias test
ProxyRequests off
ProxyPass /testcont http://192.168.10.11/controler
ProxyPassReverse /testcont http://192.168.10.11/controler
</VirtualHost>
j'ai fait ca :
ProxyRequests off
ProxyPass /testcont http://192.168.10.11/controler
ProxyPassReverse /testcont http://192.168.10.11/controler
et ca a marché (c'est la que je me suis rendu compte du pb de serveur virtuel)

Sur d'autres sites il n'apparait pas la ligne "ProxyRequests Off" qui parait assez étonnante

cette ligne est importante; elle evite que le proxy soit utilisé par le net (openproxy)

(La raison est simplissime : si c'est le firewall qui le fait, et qu'il s'administre lui même en http, alors l'administration est presque accessible de l'extérieur !)

c'est vrai que, comme je le disais, j'ai toujours vu cette fonction sur les firewalls; mais je prescise que se sont des appliances niveaux 7 (arkoon, stonegate, netask..et meme isa a cette fonction) et c'est vrai qu'il ne s'administre pas avec le http mais par un programme
par contre je me pose qd meme une petite question : quand on rajoute un addon style "urlfilter", n'est on pas justement dans le meme cas ?