[Pluto-security] Squid: reverse proxy

Beppe beppebz at tin.it
Thu Mar 6 13:57:07 CET 2003 

Ciao a tutti ...

forse qualcuno ricorderà il mio quesito [circa 2 settimane fa] riguardante la 
possibilita di distribuire diversi domini su 2 webserver sfruttando un solo 
IP pubblico. Ricordo per chiarezza il problema:
dominio A sulla macchina A e dominio B su macchina B: come faccio a dirottare 
il client sulla macchina giusta in base al dominio richiesto?
Grazie al Vs. aiuto era emerso che si poteva utilizzare un reverse proxy 
oppure con un po di furbizia modificare la configurazione del router e 
raggiungere in maniera un po sporca lo scopo. Visto che il tempo a mia 
disposizione si esaurisce giorno per giorno ;o) ho sceglieto come soluzione 
tampone quella di riconfigurare il router, ma negli ultimi due giorni ho mi 
sono preso la briga di per provare la soluzione basata su Squid seguendo 
l'articolo di Dido uscito questo mese sul PJ ---> come al solito GRAZIE per 
questi Doc's.

# LA SITUAZIONE:
Ho preso un dominio, l'ho spostato su una porta 81. Squid gira sul FW su 
porta 80 quindi ho adattato l'Fw in questa maniera:
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
ed ho per evitare errori ho modificato le regole che accettano il traffico 
verso il server:
$IPTABLES -A INTDMZ -p tcp -d webserver1 --dport 81 -j ACCEPT 
Qualche dubbio invece sul discorso del NAT; ho quasi pensato che il problema 
fosse questo, cmq. ho provato con:
$IPTABLES -t nat -A PREROUTING -p tcp -i eth0 -d $PUBIP --dport 80 -j DNAT 
--to server1
e la stessa per definire anche il secondo server. L'unica cosa che non ho 
provato a fare [quasi me ne pento] è stato di disabilitare il NAT per questo 
discorso, ma posso sempre provare.

# SQUID
Ascolta su porta 80, ACL impostate, ho deciso di disabilitare il caching 
temporaneamente [meglio una cosa alla volta ;)] e fra le opzioni 
HTTPD_ACCELLERATION: 
httpd_accel_host virtual
httpd_accel_port 81
httpd_accel_single_host off 
httpd_accel_uses_host_header on

Ho aggiunto inoltre i sigoli domini nell' /etc/hosts: 
ip_server   www.dominio.it

# LE PROVE
Non del tutto negative, nel senso che squid risponde, ma chiaramente non 
arrivo fino in fondo. Se dicito www.dominio.it il browser mi risponde:

While trying to retrieve the URL: http://www.dominio.it:81/
The following error was encountered:
  a.. Connection Failed
The system returned:
    (111) Connection refused
The remote host or network may be down.... <...cut...>

I log invece mi segnalano:

xx.xxx.xx.xxx - - [06/Mar/2003:12:50:59 +0100] "GET 
http://www.dominio.it:81/ HTTP/1.1" 503 1039 TCP_MISS:NONE

Io siceramente continuo a pensare che possa essere colpa del firewall
Voi che dite ?

Ciao e grazie
Beppe

More information about the pluto-security mailing list