Re: apache2 rewrite port
On Sat, Jun 10, 2006 at 02:34:36PM +0200, Dirk Salva wrote: > > > Das wäre natürlich einfach. Wenn ich das blos auch mit dem lighttpd > > > hinkriegen würde... > > Sowas wie > > cp /etc/$CONF-WITHOUT-SSL /etc/$CONF > > etc/init.d/lighttpd restart > > geht eigentlich immer. > > Hmm. Der lighttpd macht das über ein script /usr/sbin/lighty-enable-mod > und /usr/sbin/lighty-disable-mod, mit dessen Hilfe z.B. ein Symlink > /etc/lighttpd/conf-enabled/10-ssl.conf auf > /etc/lighttpd/conf-available/10-ssl.conf erstellt bzw. gelöscht wird. man ln, man rm. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
On Fri, Jun 09, 2006 at 04:20:34PM +0200, Dirk Salva wrote: > On Thu, Jun 08, 2006 at 09:21:16PM +0200, Ulf Volmer wrote: > > > Machbar sicherlich, klingt aber für mich kompliziert, außerdem stellt > > > sich mir die Frage, ob das so überhaupt geht und ob man das nicht > > > einfacher haben könnte. > > Ich kenne lighty nicht, hier genügt: > > sudo /etc/init.d/apache-ssl stop > > sudo /usr/sbin/sshd -p 443 > > Das wäre natürlich einfach. Wenn ich das blos auch mit dem lighttpd > hinkriegen würde... Sowas wie cp /etc/$CONF-WITHOUT-SSL /etc/$CONF etc/init.d/lighttpd restart geht eigentlich immer. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Dirk Salva wrote: > On Wed, Jun 07, 2006 at 11:33:36PM +0200, Reinhold Plew wrote: >> Ulf Volmer wrote: >> > On Wed, Jun 07, 2006 at 09:42:30PM +0200, Reinhold Plew wrote: >> >> Ulf Volmer wrote: >> >> > On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: >> >> >> Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte >> >> >> Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf >> >> >> welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf >> >> >> 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das >> >> >> habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach >> >> >> Pech und muß mich entscheiden? >> >> > Lezteres. >> >> Ähm, das seh ich nicht ganz so. >> > Du wirst Schwierigkeiten bekommen, zwei Programme am gleichen Port >> > lauschen zu lassen. >> Schon klar ;-) >> Er möchte aber https auf einem anderen Port laufen lassen und das >> funktioniert (bei mir zumindest) > > Nein, möchte "er" nicht. Der Ulf hat das schon richtig verstanden. Den > https auf einem anderen Port laufen lassen geht nicht, wenn Firewalls > oder Zwangsproxies restriktive Regeln fahren, in welchen z.B. nur 80, > 443 und vielleicht noch 25 und solche Ports in- und outbound geöffnet > sind. > Ich hatte jetzt nur die wahnwitzige Idee, daß der lighttpd (oder von > mir aus auch irgendein anderes httpd) anhand des Inhaltes "filtern" > kann: so eine Art CONNECT SSH im ersten Paket schickt dann zum sshd, > und ein CONNECT HTTP im ersten Paket schickt dann an den httpsd. Aber > da scheine ich wohl eher Verständnislücken zu haben (die aber hiermit > dann geschlossen sind). mmh, kann man das nicht doch irgendwie lösen? Also so in der Richtung, das nicht nur der Port ausgewertet wird, sondern auch die Applikation, welche den Connect herstellen will. Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Ralf Doering wrote: > Reinhold Plew <[EMAIL PROTECTED]> writes: > >> Wieso kann ich eigentlich meine Server per https über Port 4443 >> trotz Proxy ansprechen? > > Weil dein Proxy offenbar CONNECT auch auf Ports != 443 zulässt und > damit relativ liberal eingestellt ist. war auch eher als retorische Frage gemeint ;-) Klar, wenn man seinen Proxy total dicht macht geht das nicht mehr. Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
On Thu, Jun 08, 2006 at 04:55:57PM +0200, Dirk Salva wrote: > On Thu, Jun 08, 2006 at 11:24:49AM +0200, Ulf Volmer wrote: > > Die 'kleine' Lösung für dein Problem könnte sein, dem httpd ein cgi zu > > verpassen, mit dem du manuell zwischen ssh/https- Betrieb umschaltest. > > Wie müßte ich mir das vorstellen? Ein cgi-script, welches den > http-daemon ohne ssl-support restartet und dafür mit lauschendem > beispielsweise sshd auf 443 diesen entsprechenden Dienst (hier also > sshd) restartet? Könnte klappen, klingt allerdings scriptmäßig äußerst > umständlich, weil das cgi-Script ja im Prinzip jedesmal > /usr/sbin/lighty-disable-mod aufrufen müßte, an dieses Programm disable > ssl übergeben müßte, dann den httpd restarten müßte, dann die > sshd-config umschreibt und den sshd restartet. Dann könnte ich mich per > ssh anmelden und das ganze u.U. mit einem Shell-script wieder > "rückgängig" machen. > > Machbar sicherlich, klingt aber für mich kompliziert, außerdem stellt > sich mir die Frage, ob das so überhaupt geht und ob man das nicht > einfacher haben könnte. Ich kenne lighty nicht, hier genügt: sudo /etc/init.d/apache-ssl stop sudo /usr/sbin/sshd -p 443 cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
On Thu, Jun 08, 2006 at 12:42:09AM +0200, Dirk Salva wrote: > Ich hatte jetzt nur die wahnwitzige Idee, daß der lighttpd (oder von > mir aus auch irgendein anderes httpd) anhand des Inhaltes "filtern" > kann: so eine Art CONNECT SSH im ersten Paket schickt dann zum sshd, > und ein CONNECT HTTP im ersten Paket schickt dann an den httpsd. Aber > da scheine ich wohl eher Verständnislücken zu haben (die aber hiermit > dann geschlossen sind). Grundsätzlich wäre das mit einem load-balancer möglich, der ssh und https differenzieren kann. Mir ist allerdings nicht derartiges bekannt. Die 'kleine' Lösung für dein Problem könnte sein, dem httpd ein cgi zu verpassen, mit dem du manuell zwischen ssh/https- Betrieb umschaltest. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Dirk Salva wrote: > Mich interessiert da aber noch ein Aspekt: > Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte > Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf > welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf > 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das > habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach > Pech und muß mich entscheiden? Vermutlich letzteres. Hatte beim Hinweis auf mod_proxy eigentlich total vergessen, nachzuschauen ob das mit SSL ueberhaupt geht, aber das scheint moeglich zu sein: In addition, extended features are provided by other modules. Caching is provided by mod_cache and related modules. The ability to contact remote servers using the SSL/TLS protocol is provided by the SSLProxy* directives of mod_ssl. These additional modules will need to be loaded and configured to take advantage of these features. Wenn ich das richtig sehe, hast Du auf Port 443 einen SSL-Dienst am Laufen und auf Port 80 einen normalen HTTP-Dienst. Wenn Du jetzt noch einen zweiten haben willst waere ein weiterer Port notwendig (abgesehen von dem Problem, dass Du pro IP nur ein SSL Zertifikat verwenden kannst). Das wird wegen des Proxy der nur 80 und 443 zulaesst nicht funktionieren, einzige Loesung waere ein SSL-Proxy wie ihn einige Anbieter haben, so dass Du nach aussen nur einen SSL-Dienst hast und dann intern den Proxy auf deine Dienste: https://ssl.my.tld/foo:443 ---> intern auf Server A https://ssl.my.tld/bar:443 ---> intern auf Server B Ob das fuer deinen Fall geht ist eine andere Frage. Und setzt natuerlich voraus, dass umverschluesselt werden darf (oder noch besser intern kein SSL erforderlich ist). Cheers, Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Reinhold Plew <[EMAIL PROTECTED]> writes: > Wieso kann ich eigentlich meine Server per https über Port 4443 > trotz Proxy ansprechen? Weil dein Proxy offenbar CONNECT auch auf Ports != 443 zulässt und damit relativ liberal eingestellt ist. Ralf
Re: apache2 rewrite port
Ulf Volmer wrote: > On Wed, Jun 07, 2006 at 09:42:30PM +0200, Reinhold Plew wrote: >> >> Ulf Volmer wrote: >> > On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: >> > >> >> Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte >> >> Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf >> >> welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf >> >> 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das >> >> habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach >> >> Pech und muß mich entscheiden? >> > >> > Lezteres. >> >> Ähm, das seh ich nicht ganz so. > > Du wirst Schwierigkeiten bekommen, zwei Programme am gleichen Port > lauschen zu lassen. Schon klar ;-) Er möchte aber https auf einem anderen Port laufen lassen und das funktioniert (bei mir zumindest) Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
On Wed, Jun 07, 2006 at 09:42:30PM +0200, Reinhold Plew wrote: > > Ulf Volmer wrote: > > On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: > > > >> Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte > >> Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf > >> welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf > >> 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das > >> habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach > >> Pech und muß mich entscheiden? > > > > Lezteres. > > Ähm, das seh ich nicht ganz so. Du wirst Schwierigkeiten bekommen, zwei Programme am gleichen Port lauschen zu lassen. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Reinhold Plew wrote: > Ulf Volmer wrote: > >> On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: >> >>> Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte >>> Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf >>> welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf >>> 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das >>> habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach >>> Pech und muß mich entscheiden? >> >> Lezteres. > > Ähm, das seh ich nicht ganz so. > > @Dirk: Du kannst den Apachen doch für SSL z.B. auf Port 4443 lauschen > lassen. Ansprechen kannst Du ihn dann als https://domain.tld:4443 > > hth > Reinhold vielleicht schnell wieder vergessen, hatte den Proxy überlesen :-( Aber kann der nicht auch entsprechend konfiguriert werden? Wieso kann ich eigentlich meine Server per https über Port 4443 trotz Proxy ansprechen? Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Ulf Volmer wrote: > On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: > >> Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte >> Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf >> welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf >> 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das >> habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach >> Pech und muß mich entscheiden? > > Lezteres. Ähm, das seh ich nicht ganz so. @Dirk: Du kannst den Apachen doch für SSL z.B. auf Port 4443 lauschen lassen. Ansprechen kannst Du ihn dann als https://domain.tld:4443 hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
On Wed, Jun 07, 2006 at 06:55:59PM +0200, Dirk Salva wrote: > Ich habe das Problem, daß ich den Port 443 zwingend für eine bestimmte > Anwendung benötige. Jetzt möchte ich auf dem "lauschenden" Rechner, auf > welchem der Dienst auf 443 horcht, aber auch https anbieten. https auf > 80 oder 81 funktioniert widerum nicht durch einen Proxy hindurch, das > habe ich schon getestet. Gibt es da eine Lösung, oder habe ich einfach > Pech und muß mich entscheiden? Lezteres. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Marco wrote: > Ich habe einen ssl-Dienst auf port 111 laufen, möchte ihn aber via > appach2 von außen über port 443 nutzen. (https://foo.bar.org/aaa/ -> > https://localhost:111/) Wenn kein besonderer Grund besteht, nicht 443 anstelle des 111 zu benuzten - tausche den Port. Ein Zugriff via den Apache um von 443 auf 111 zu kommen, wenn beides auf der gleichen Maschine liegt macht IMHO kaum einen Sinn. Sonst (und wenn der Rechner mit dem Dienst nicht der gleiche ist, wie der wo auch der Apache laeuft) -> mod_proxy. Im Einsatz kann man das z.B. unter www.gpg-keyserver.de sehen, dort werden die Requests auf einen SKS Server umgeleitet, der auf einem anderen Port liegt (um HKP auch hinter einer restriktiven Firewall nutzen zu koennen). Wenn Dich das interessiert kann ich gerne mal die Config dazu posten. Cheers, Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Marco wrote: > > Ich habe einen ssl-Dienst auf port 111 laufen, möchte ihn aber via > > appach2 von außen über port 443 nutzen. (https://foo.bar.org/aaa/ -> > > https://localhost:111/) Wenn kein besonderer Grund besteht, nicht 443 anstelle des 111 zu benuzten - tausche den Port. Ein Zugriff via den Apache um von 443 auf 111 zu kommen, wenn beides auf der gleichen Maschine liegt macht IMHO kaum einen Sinn. Sonst (und wenn der Rechner mit dem Dienst nicht der gleiche ist, wie der wo auch der Apache laeuft) -> mod_proxy. Im Einsatz kann man das z.B. unter www.gpg-keyserver.de sehen, dort werden die Requests auf einen SKS Server umgeleitet, der auf einem anderen Port liegt (um HKP auch hinter einer restriktiven Firewall nutzen zu koennen). Wenn Dich das interessiert kann ich gerne mal die Config dazu posten. Cheers, Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFEhsPF/HxP9u0KvHURAuIOAJ45ZzssNVwlbRQMySr5Bkd44f/BAwCfcASB iGIZCRtdCo8Y1F0vliayuSo= =MACK -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apache2 rewrite port
Am 07.06.06 schrieb Marco <[EMAIL PROTECTED]>: [..] Bitte stoßt mich in die richtige Richtung. [..] Das erste was mir dazu eingefallen wäre ist: Den Dienst auf Port 443 laufen lassen. Das zweite war lokales Tunneling. Wird dir wohl beides nicht wirklich weiterhelfen, oder? Vorallem zweiteres ist mir nur eben so eingeschossen, keine Ahnung ob das tatsächlich das Problem trifft, dass du hast. #Hannes#
