Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Ух, ну там и простыня из правил... Извентиляюсь, но мне так тяжко читать, дайте пожалуйста вывод iptables -nL ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 21:52 16-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подробнее...   Добавлено:   Valery12 В мироштыке тоже какое-то VRF, логично если оно реализовано через iproute2/netfilter. Я дотуда ещё не добрался )  как впрочем и в цисках.   Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 23:17 16-04-2012 | Исправлено: LevT, 23:24 16-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Меня глючит или вы где-то писали что у вас внутрь сети непосредственно с роутера не проходили trace'ы?   Что касается корявости правили или нет, полностью сказать не могу (не видел iptables -vnL, думаю можно не скидывать, скорее всего совсем лажу они не допустили). Вообще я лично ни когда не разбиваю трафик еще по цепочкам int_input, ext_input и т.п., меня даже это коробит при чтении правил в SuSE. Привыкнуть я к этому могу, но практической пользы не вижу. Я правила всё равно всегда читаю в конфиге (bash скрипт или файл пригодный для restore), а в вывод iptables смотрю только если за динамическими записями или счётчиками пакетов. То, что везде к правилам дописано cstate NEW это хорошо, я обычно не пишу, хотя правильнее писать. А вот при указании правил для одиночного ip, предпочитаю явно указывать префикс /32. Ну и можно добавлять правила для защиты от атак (проверка количества соединений в секунду) и сканирований (проверка флагов и размеров пакета, создание ловушек). Так же некоторые отлупы можно и логировать (-j LOG). ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 23:52 16-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Трейсы не проходили на прошлой инкарнации зентияла, той, которая в результате моих ковыряний в вебморде периобрела левую таблицу маршрутов 103. Я её сохранил в снапшоте на случай желания и возможности покопаться - а зентиял переустановил начисто. )   Спасибо за отзыв. Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 00:15 17-04-2012 | Исправлено: LevT, 00:19 17-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   Как с помощью nginx проксировать запросы http://portаl.mydоmain.lаn на https://portal.mydomain.lan ?   FYI: К вебсервисам типа portal доступ изнутри локалки бывает: 1) стандартным способом с дописыванием суффикса mydomain.lan   2) проприетарным мелкомягким способом с помощью CNAME записи в зоне GlobalNames (эта фигня предназначена для того, чтобы уйти от WINS в масштабах AD (то есть например при слиянии организаций).   Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 18:24 19-04-2012 | Исправлено: LevT, 18:29 19-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Что-то я не пойму... Если http и https находятся на разных машинах (разные ip), то CNAME ваш вариант, ну или redirect (http 301). Как бы если клиенты будут обращаться к  http серверу то сессия защищена не будет от того, что он будет проксировать это к https backend'у. Будет защищен канал между nginx и реальным сервером, оно вам надо?)   Мб я что-то не так понял?.. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 19:35 19-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору про HTTP редирект спасибо, не думал что это можно применить   Добавлено:   Я хочу, чтобы не надо было учить юзеров, чем отличается https от http   Опыт показывает, что это трудная задачка, ресурсоёмкая.  Я свое время на что-нибудь более интересное потрачу. )   Какие вообще существуют варианты редиректа http:// на https:// ?   Предлагаю составить в этой теме шпаргалку для всех случаев.         Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 19:37 19-04-2012 | Исправлено: LevT, 19:43 19-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT В смысле какие варианты? Ты так и не ответил, нужно ли что бы сессия с пользователем шифровалась или просто любым способом достучаться до https сайта, который по каким-либо причинам не предоставляет доступа по http?   Добавлено: Вообще применяются 2 http ошибки: 301 Moved Permanently 302 Moved temporarily Можно и страничку набросать на php с перекидыванием или даже JS скрипт... Собственно вот сразу все примеры... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 19:54 19-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: просто любым способом достучаться до https сайта, который по каким-либо причинам не предоставляет доступа по http?     Второе.    Требования секурности в основном нет. Сертификатов своих пока нет, их только планируется внедрять - но не столько для секурности, сколько для менее геморройного использования существующих https сервисов (не всегда можно их перенастроить на http, да и не нужно, если можно прозрачно редиректить.)   Геморрой даже лишняя букова s из себя представляет ))     Добавлено:   Class 2 StartSSL для публичного домена будем покупать завтра.   Но в сертификатах я сам ещё пока плаваю... быстро внутреннюю CA не подниму без опыта. Виндовую разве что...     Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 20:23 19-04-2012 | Исправлено: LevT, 20:32 19-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Ну тогда можно в nginx прописать proxy_pass на https ресурс, клиент с nginx будут общаться по http, а nginx с сервером по https ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 20:40 19-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Собственно вот сразу все примеры...   Это примеры на уровне приложения. Причем по поводу настройки конкретного приложения -апача. А меня интересует, прежде всего: можно ли иначе переадресовать запросы - на более низком уровне (транспортном или сессионном)? Если можно, тот как?   Добавлено: Цитата: Ну тогда можно в nginx прописать proxy_pass на https ресурс, клиент с nginx будут общаться по http, а nginx с сервером по https   Во-во, это-то сделать я уже додумался. А вот чтобы юзеры заходили на один общий https: портал и оттуда уже переадресовывались куда надо - сильно ли сложно? И извне чтоб это выглядело бы единым порталом. Такой типа SSL VPN     Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 20:42 19-04-2012 | Исправлено: LevT, 20:51 19-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Собственно делаете свой портал https://example.com и настраиваете его как ssl server в nginx, а дальше описываете proxy_pass понравившихся контекстов (/internal1 /internal2 ...) на соответсвующие внутрение ресурсы, и не важно какие они внутри ssl или нет. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 21:07 19-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо! Отлично!   А разумно ли повесить на нгинкс сам небольшой портал (для начала просто несколько статических ссылок) - или надо ставить туда же апач? Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 21:49 19-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT На кой Вам там еще и apache сдался-то... Просто nginx'у указать: location / {     root /var/www/dummy/;     index index.html; }   Добавлено: OMG! Ну ладно M$ проплатил слова сервр и microsft, но apach-то за что? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 21:55 19-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: FingerPrint ни как не связан с авторизацией по сертификату, это защитный механизм, запоминания "образа" сервера, что бы при повторном подключение клиент узнал, если кто-то хочет провернуть MITM, поэтому при первом подключение к серверу стоит внимательно отнестись к занесению его отпечатка в свою базу знаний (а то вдруг уже кто-то ждёт тебя, и хана твоему серверу).   На opennet'е есть неплохая статья по authorized by key.         Немного углубился в тему сертификатов - и обнаружил отсутствие интероперабельности OpenSSH с мелкомягкой PKI и вообще X.509.     OpenSSH сейчас активно патчится на сей предмет, но хз когда этим можно будет пользоваться.   https://fogbugz.bitvise.com/default.asp?WinSSHD.1.17397.1         Добавлено:   А вот мелкомягкий SSL сразу понимает эти поганые сертификаты.   Жизнь админа сцукоупрощает... Сначала усложнив до предела самой этой X.509 поганью  ((     Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 17:59 21-04-2012 | Исправлено: LevT, 18:00 21-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Собственно мне не нужно использовать X.509 сертификаты в OpenSSH. Единственное удобство которые я здесь вижу, это если админ этот же X.509 сертификат еще использует где-либо (например, клиентская авторизация на сайте по сертификату). WinSSHD хм... Впервые слышу, зачем оно если есть RDPv6?   p.s. Цитата: интероперабельности блин, есть обычное слово - совместимость...   Добавлено: И вообще RSA это по сути ключ, а X.509 именно сертификат... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 18:22 21-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: WinSSHD хм... Впервые слышу, зачем оно если есть RDPv6?     Это всего лишь страничка с перечислением ссылок по заинтересовавшей меня теме.   А на PDPv6 похоже придётся задержаться - именно из-за отсутствия комфортно администрируемой PKI в юниксах  ((     Цитата: блин, есть обычное слово - совместимость...     э-ээ, не просто. Совместимость это общее "философское" понятие, интерперабельность его специальный вариант (взаимодействие разнородных вычислительных систем, именно в рантайме).     Цитата:  вообще RSA это по сути ключ, а X.509 именно сертификат...   X.509 - один из многих возможных контейнеров для ключа, да ещё и подписанный авторитетом, который типа (вроде как, а на самом деле хрен - потому что коммерческие CA отмазываются от ответственности) удостоверяет принадлежность публичного ключа лицу. Соответственно, тащит за собой безумный оверхед, с коммерциализацией и тотальным контролем.   Только что в википедии обнаружил академический концепт SPKI - где принципалами безопасности выступают сами публичные ключи.  И концепт Ceremony - расширение понятия протокола. Оказывается, последний даже уже реализован... в UPnP.   http://world.std.com/~cme/html/spki.html Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 18:46 21-04-2012 | Исправлено: LevT, 18:51 21-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Собственно мне не нужно использовать X.509 сертификаты в OpenSSH.   Блин, только несколько часов назад до меня допёрло, что OpenSSH и OpenSSL вещи разные. Но нет худа без добра: вчера я заставил себя подробно пролистать книжечку, которая определённо в будущем пригодится   SSH Mastery OpenSSH, PuTTY, Tunnels and Keys   by Michael W Lucas Всего записей: 18093 | Зарегистр. 14-10-2001 | Отправлено: 08:36 22-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Цитата: Блин, только несколько часов назад до меня допёрло, что OpenSSH и OpenSSL вещи разные. лучше поздно чем никогда... А OpenSSL вообще весьма мощная утилита, рекомендую если не особо углубляться в неё, то хотя бы знать на что она способна. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 22:18 22-04-2012

Страницы: 1 2 3 4 5 6

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » NAT и публикация сервисов с учётом virtual hosts

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование