[MontelLUG] Acrobazie con Apache
Samuele Zanin
samuele.zanin a tiscali.it
Mer 9 Set 2009 15:41:10 CEST
Il giorno mer, 09/09/2009 alle 14.35 +0200, Daneel Olivaw ha scritto:
> Alur (per i novellini: i nerd l33t ESIGONO tutti i dati possibili per
> una loro soluzione, altrimenti vanno di casi generici o di rtfm):
o un bel flame sui casi estremi...
> - server 1 esposto sulla porta 80: quello di posta con Apache2
> - server 2 su porta 8787: ha solo servizi sotto Plone
> - perché bla.bla:8787/manuale? perché così con un semplice NAT sul
> firewall avevo risolto il problema di esporre cose interne in maniera
> semplice & elegante
> - perché utonto rogna? Perché è da un cliente che come unica porta
> permette la 80... e non fa deroghe... AAAARGH!!!!
Schemino con sottoreti/firewall & co?
1) I server sono tutti e due da te, tutti e due dal cliente, metà e metà
o sparpagliati in un qualche farm village?
2) Ok che permette la porta 80, ma solo in uscita o in entrata?
3) Se i vostri server DEVONO comunicare assieme, che le porte che deve
aprire siano 1 o 100 non cambia una pippa. Si può discutere se le devi
aprire tu, lui, fare una vpn, collegarsi con il piccione piuttosto che
con il modem ecc, ma una volta che permette a te di entrare attraverso
una porta sulla quale è in ascolto apache, a livello di sicurezza, non
cambia nulla se poi deve aprirti un'altra porta sempre con apache e con
gli stessi filtri.
2) Il fatto che tu faccia nat, mi fa pensare che oltre a farti vedere
solo la porta 80, tu possa indirizzare un unico indirizzo ip.
Se è così, almeno da quello che ne so, non c'è scampo.
> Ho provato la soluzione di EndelWar, ma ha un problemino: la
> riscrittura dell'indirizzo dovrebbe essere trasparente, altrimenti
> cerca l'indirizzo interno e ciao a tutti... provo a dare un'occhiata a
> mod_rewrite... sperando di capirne qualcosa '^_^
Sento puzza di accrocchio. Mi sbaglio?
Il fatto che il cliente non voglia aprirti un'altra porta, mi fa pensare
che non abbia idea di come effettivamente lavorino i programmi.
Io comincerei a fargli paura sui possibili pericoli di tenere aperta la
porta 80. Se magari prende paura, poi ti chiude anche quella, a sto
punto è impossibile far comunicare i server, ed il problema si può dire
risolto.
More information about the montellug
mailing list