Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Apache SSL Proxy und verschieden Ports

12 views
Skip to first unread message

Helmut Schneider

unread,
May 28, 2004, 6:13:40 AM5/28/04
to
Hi,

Genauer hab ich das Subjekt leider nicht hingebracht:
Ich hab 2 VHosts mit zwei (virtuellen) IP Adressen, www1.domain.de und
www2.domain.de. Von www2.domain.de:443 proxie ich nach https://...:8443.

ProxyPass / https://...:8443
ProxyPassReverse / https://...:8443

Diesen URL gibt Apache auch an den Client weiter, was an manchen
Firewalls scheitert (und imo unäthetisch ist). Gibt es einen Weg (evtl.
mit Rewrite) dem Client als URL wieder ein https://www2.domain.de:443
unterzujubeln? Ich müsste mod_rewrite erst reinkompilieren, und wenn
feststeht, dass es damit nicht geht, kann ich mir das sparen.

Danke und Gruß, Helmut

--
Please do not feed my mailbox, Swen already got that job

Helmut Schneider

unread,
Jun 1, 2004, 6:33:33 AM6/1/04
to
Helmut Schneider wrote:

> Genauer hab ich das Subjekt leider nicht hingebracht:
> Ich hab 2 VHosts mit zwei (virtuellen) IP Adressen, www1.domain.de und
> www2.domain.de. Von www2.domain.de:443 proxie ich nach
> https://...:8443.
>
> ProxyPass / https://...:8443
> ProxyPassReverse / https://...:8443
>
> Diesen URL gibt Apache auch an den Client weiter, was an manchen
> Firewalls scheitert (und imo unäthetisch ist). Gibt es einen Weg
> (evtl. mit Rewrite) dem Client als URL wieder ein
> https://www2.domain.de:443 unterzujubeln? Ich müsste mod_rewrite erst
> reinkompilieren, und wenn feststeht, dass es damit nicht geht, kann
> ich mir das sparen.

Ist die Frage zu trivial, zu schwer, oder einfach nur dämlich? :)

Max Dittrich

unread,
Jun 1, 2004, 3:41:11 PM6/1/04
to
Helmut Schneider wrote on Tue, 1 Jun 2004 12:33:33 +0200:
> Helmut Schneider wrote:
>
> > Genauer hab ich das Subjekt leider nicht hingebracht:
> > Ich hab 2 VHosts mit zwei (virtuellen) IP Adressen, www1.domain.de und

Mit virtuellen IP-Adressen wirst Du wohl auch nur virtuellen
Datenverkehr haben. :)

> > www2.domain.de. Von www2.domain.de:443 proxie ich nach
> > https://...:8443.
> >
> > ProxyPass / https://...:8443
> > ProxyPassReverse / https://...:8443
> >
> > Diesen URL gibt Apache auch an den Client weiter, was an manchen
> > Firewalls scheitert (und imo unäthetisch ist). Gibt es einen Weg
> > (evtl. mit Rewrite) dem Client als URL wieder ein
> > https://www2.domain.de:443 unterzujubeln? Ich müsste mod_rewrite erst
> > reinkompilieren, und wenn feststeht, dass es damit nicht geht, kann
> > ich mir das sparen.
>
> Ist die Frage zu trivial, zu schwer, oder einfach nur dämlich? :)

Hmm, um das zu entscheiden fehlt noch eine Information.

Wie geschieht es, dass der Client von der "versteckten" Backendadresse
"https://....:8443" erfährt. Hast Du ausgeschlossen, dass der
Backendserver durch absolute URLs in HTML o.ä. seine Existenz verrät?

Mod_proxy und seine ProxyPassReverse - Funktion sollte den von dir
beschriebenen Effekt bzgl. des HTTP-Protokolls beheben.

Weitere Details (u.a. zum Umschreiben vom HTML-Dokumenten) auch unter:

http://httpd.apache.org/docs-2.0/mod/mod_proxy.html#proxypassreverse

gruss,
.max

Helmut Schneider

unread,
Jun 2, 2004, 3:23:54 AM6/2/04
to
Max Dittrich wrote:

> Helmut Schneider wrote on Tue, 1 Jun 2004 12:33:33 +0200:
>> Helmut Schneider wrote:
>>
>>> Genauer hab ich das Subjekt leider nicht hingebracht:
>>> Ich hab 2 VHosts mit zwei (virtuellen) IP Adressen, www1.domain.de
>>> und
>
> Mit virtuellen IP-Adressen wirst Du wohl auch nur virtuellen
> Datenverkehr haben. :)

Sehr witzig... :)

>>> www2.domain.de. Von www2.domain.de:443 proxie ich nach
>>> https://...:8443.
>>>
>>> ProxyPass / https://...:8443
>>> ProxyPassReverse / https://...:8443
>>>
>>> Diesen URL gibt Apache auch an den Client weiter, was an manchen
>>> Firewalls scheitert (und imo unäthetisch ist). Gibt es einen Weg
>>> (evtl. mit Rewrite) dem Client als URL wieder ein
>>> https://www2.domain.de:443 unterzujubeln? Ich müsste mod_rewrite
>>> erst reinkompilieren, und wenn feststeht, dass es damit nicht geht,
>>> kann ich mir das sparen.
>>
>> Ist die Frage zu trivial, zu schwer, oder einfach nur dämlich? :)
>
> Hmm, um das zu entscheiden fehlt noch eine Information.
>
> Wie geschieht es, dass der Client von der "versteckten" Backendadresse
> "https://....:8443" erfährt. Hast Du ausgeschlossen, dass der
> Backendserver durch absolute URLs in HTML o.ä. seine Existenz verrät?

Das kann ich wohl nicht, Microsoft Exchange Server lässt nicht mit sich
handeln :(

> Mod_proxy und seine ProxyPassReverse - Funktion sollte den von dir
> beschriebenen Effekt bzgl. des HTTP-Protokolls beheben.

Leider nicht.

> Weitere Details (u.a. zum Umschreiben vom HTML-Dokumenten) auch unter:
>
> http://httpd.apache.org/docs-2.0/mod/mod_proxy.html#proxypassreverse

Hatte ich erwähnt, dass mein OpenBSD mich zu Apache 1.3.29 zwingt?!

Aber Danke trotzdem, offensichtlich bin ich auf dem richtigen Weg und
ohne MSX wäre ich wohl schon am Ziel.

Gruß, Helmut

Max Dittrich

unread,
Jun 2, 2004, 4:19:37 PM6/2/04
to
Helmut Schneider wrote on Wed, 2 Jun 2004 09:23:54 +0200:
> Max Dittrich wrote:
>
> > Helmut Schneider wrote on Tue, 1 Jun 2004 12:33:33 +0200:
> >> Helmut Schneider wrote:
> >>
> >>> Genauer hab ich das Subjekt leider nicht hingebracht:
> >>> Ich hab 2 VHosts mit zwei (virtuellen) IP Adressen, www1.domain.de
> >>> und
> >
> > Mit virtuellen IP-Adressen wirst Du wohl auch nur virtuellen
> > Datenverkehr haben. :)
>
> Sehr witzig... :)

Ja, ne? :D

>
> >>> www2.domain.de. Von www2.domain.de:443 proxie ich nach
> >>> https://...:8443.
> >>>
> >>> ProxyPass / https://...:8443
> >>> ProxyPassReverse / https://...:8443
> >>>
> >>> Diesen URL gibt Apache auch an den Client weiter, was an manchen
> >>> Firewalls scheitert (und imo unäthetisch ist). Gibt es einen Weg
> >>> (evtl. mit Rewrite) dem Client als URL wieder ein
> >>> https://www2.domain.de:443 unterzujubeln? Ich müsste mod_rewrite
> >>> erst reinkompilieren, und wenn feststeht, dass es damit nicht geht,
> >>> kann ich mir das sparen.
> >>
> >> Ist die Frage zu trivial, zu schwer, oder einfach nur dämlich? :)
> >
> > Hmm, um das zu entscheiden fehlt noch eine Information.
> >
> > Wie geschieht es, dass der Client von der "versteckten" Backendadresse
> > "https://....:8443" erfährt. Hast Du ausgeschlossen, dass der
> > Backendserver durch absolute URLs in HTML o.ä. seine Existenz verrät?
>
> Das kann ich wohl nicht, Microsoft Exchange Server lässt nicht mit sich
> handeln :(

Du traust Dich wohl nicht JehOWA zu sagen. :))

Meine Rückfrage sollte eigentlich nur klären, ob Du weisst das Reverse-
Proxying nur mit relativen URLs (oder kleinen DNS-Tricks) funktioniert.

Ich hatte ja leider immer noch keine Möglichkeit mich selber mal auf
einen Exchange-Server über die Outlook Web Access - Schnittstelle zu
connecten. Jedenfalls gibt es zum Thema "Apache als Reverse-Proxy für
WOA" doch eine ganze Menge Quellen im Netz. Wenn Du einfach mal nach
"owa proxy absolute url" suchst, findest Du Hinweise auf einen HTTP-
Header Front-End-HTTPS.

Einen Erfahrungsbericht/Anleitung beim Einsatz dieses Scenarios gibt es
unter http://www.giac.org/practical/GSEC/David_Waldo_GSEC.pdf.

>
> > Mod_proxy und seine ProxyPassReverse - Funktion sollte den von dir
> > beschriebenen Effekt bzgl. des HTTP-Protokolls beheben.
>
> Leider nicht.
>
> > Weitere Details (u.a. zum Umschreiben vom HTML-Dokumenten) auch unter:
> >
> > http://httpd.apache.org/docs-2.0/mod/mod_proxy.html#proxypassreverse
>
> Hatte ich erwähnt, dass mein OpenBSD mich zu Apache 1.3.29 zwingt?!

Nein.

>
> Aber Danke trotzdem, offensichtlich bin ich auf dem richtigen Weg und
> ohne MSX wäre ich wohl schon am Ziel.
>

gruss,
.max

Helmut Schneider

unread,
Jun 3, 2004, 8:43:14 AM6/3/04
to
Max Dittrich wrote:

>>> Wie geschieht es, dass der Client von der "versteckten"
>>> Backendadresse "https://....:8443" erfährt. Hast Du ausgeschlossen,
>>> dass der Backendserver durch absolute URLs in HTML o.ä. seine
>>> Existenz verrät?
>>
>> Das kann ich wohl nicht, Microsoft Exchange Server lässt nicht mit
>> sich handeln :(
>
> Du traust Dich wohl nicht JehOWA zu sagen. :))

Steinigt Sie - Ihn!

> Meine Rückfrage sollte eigentlich nur klären, ob Du weisst das
> Reverse- Proxying nur mit relativen URLs (oder kleinen DNS-Tricks)
> funktioniert.

OWA funktioniert einwandfrei. Hat zwar gedauert, aber bin happy.

> Ich hatte ja leider immer noch keine Möglichkeit mich selber mal auf
> einen Exchange-Server über die Outlook Web Access - Schnittstelle zu
> connecten.

Wenn Du möchtest, darfst Du mal! :)

> Jedenfalls gibt es zum Thema "Apache als Reverse-Proxy für
> WOA" doch eine ganze Menge Quellen im Netz. Wenn Du einfach mal nach
> "owa proxy absolute url" suchst, findest Du Hinweise auf einen HTTP-
> Header Front-End-HTTPS.

Habs damit gemacht, ist ein sehr netter Kerl:
http://3cx.org/static/pages/1

> Einen Erfahrungsbericht/Anleitung beim Einsatz dieses Scenarios gibt
> es unter http://www.giac.org/practical/GSEC/David_Waldo_GSEC.pdf.

Kenn ich auch, ja. Leider hab ich noch kein DOC gefunden, dass mehrere
EMail Domains im Zusammenhang mit OWA und apache behandelt. :)

Danke und Gruß, Helmut

0 new messages