Discussion :

[Jonathan.b]

Bonjour à tous,

J'ai un serveur Ubuntu en DMZ (SrvDmz) et un serveur web (SrvWeb, toujours en linux) en LAN interne.

Le SrvDmz à une adresse public fixe (Jusque là tout va bien), et j'aimerais rediriger tout les accès http vers une application web qui se trouve sur mon serveur SrvWeb.

---Web------------DMZ-------------|----------------LAN
Internaute ------> SrvDmz ------> Firewall --------> SrvWeb

Le SrvDmz servirait en gros de passerelle pour pointer vers des serveurs web en interne.

L'internaute tape http://monadresseip et voit s'afficher le site qui se trouve sur le SrvWeb.

Je ne sais pas du tout comment m'y prendre. Avez vous une idée là dessus ou des tutos sous la main pour faire cette manip?

Merci d'avance.

[_Mac_]

C'est très simple : il faut que tu configures sur SrvDmz ce qu'on appelle un reverse proxy. Le moyen le plus simple c'est d'installer Apache et de configurer mod_proxy pour rediriger tout vers ton serveur SrvWeb.

[Jonathan.b]

Comment fait-on pour activer le mod_proxy en apache2? Je ne vois pas de fichier avec les # à enlever devant les lignes que l'on veut comme sur apache (1).

Le must serait d'avoir un tuto là dessus. Je ne m'en sort pas avec la doc.

[jeromek]

tu dois ajouter ou decommenter la ligne LoadModule, en cas d'ajout tu indique juste le chemin physique complet vers le fichier mod_proxy.so et dans ton cas je pense qu'il faut aussi faire un load de mod_proxy_http

Regarde si tu as pas un dossier sysconfig.d contenant un fichier loadmodule.conf

Bonne chance à toi !

[Jonathan.b]

J'ai réussi à ajouter le mod proxy avec la commande "a2mod proxy".

J'ai réussi à faire mes tests sur un serveur de ... test .

Je veux maintenant le mettre en place sur le vrai serveur dispo en DMZ et je rencontre l'erreur:

Forbidden

You don't have permission to access /test/ on this server.
Apache/2.2.4 (Ubuntu) Server at 192.168.1.30 Port 80

Voilà l'archi

serveur1
Ip => 192.168.1.3
appli web => http://192.168.1.3/monappliweb/

ServeurDMZ
Ip => 192.168.1.30

et voilà la conf présente sur le serveurDMZ:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
NameVirtualHost *
ServerName 192.168.1.30
 
ProxyPreserveHost On
 
<VirtualHost *>
 
	ServerAdmin webmaster@localhost
 
	<proxy *>
		Options +FollowSymLinks
		AllowOverride All
		order allow,deny
		allow from all
	</proxy>
 
	<Location /test/ >
		ProxyPass <a href="http://192.168.1.3/monappliweb/" target="_blank">http://192.168.1.3/monappliweb/</a>
		ProxyPassReverse <a href="http://192.168.1.3/" target="_blank">http://192.168.1.3/</a>
	</Location>
 
          |
          |
          |
          etc
          |
          |
 
</VirtualHost>

D'après cette configuration, lorsque je vais sur l'adresse : http://192.168.1.30/test/, je devrais voir la même page qu'à l'adresse suivante http://192.168.1.3/monappliweb/ alors que je rencontre actuellement l'erreur ci-dessus.

Petite précision:
ServeurDMZ est un ubuntu ou je suis connecté avec le compte : user/user
Serveur1 est un serveur Windows qui n'a pas de compte user/user.

Je ne vois pas d'où vient mon erreur.

[Jonathan.b]

Je ressort un peu le sujet. Je reprends mon projet de redirection http et j'en suis toujours au même niveau. Avez vous une piste ?

[_Mac_]

Dans les logs d'erreur d'Apache des 2 serveurs, y a quelque chose ?

[boriskov]

67.15.181.25 - - [10/Jul/2008:01:38:24 +0200] "GET /index.php?id=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 285 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:24 +0200] "GET /dotproject/includes/db_adodb.php?baseDir=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 308 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:24 +0200] "GET /cacti/include/config_settings.php?config[include_path]=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 309 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:25 +0200] "GET /index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 286 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:25 +0200] "GET /admin/business_inc/saveserver.php?thisdir=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 309 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:25 +0200] "GET /webcalendar/tools/send_reminders.php?includedir=http://makina.org/sugarfree/1.gif?/ HTTP/1.1" 404 312 "-" "Morfeus Fucking Scanner"
67.15.181.25 - - [10/Jul/2008:01:38:26 +0200] "GET / HTTP/1.1" 200 726 "-" "Morfeus Fucking Scanner"
192.168.1.254 - - [10/Jul/2008:08:49:34 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:49:34 +0200] "PROPFIND /transfert-FTP HTTP/1.1" 405 315 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:49:34 +0200] "PROPFIND /transfert-FTP HTTP/1.1" 405 315 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:52:51 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:52:51 +0200] "PROPFIND /transfert-FTP HTTP/1.1" 405 315 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:52:51 +0200] "PROPFIND /transfert-FTP HTTP/1.1" 405 315 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:54:55 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.254 - - [10/Jul/2008:08:54:55 +0200] "PROPFIND /transfert-FTP HTTP/1.1" 405 315 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.1.1 - - [10/Jul/2008:09:27:40 +0200] "GET / HTTP/1.0" 200 725 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15"

[_Mac_]

Ce sont les logs d'accès. J'ai demandé les logs d'erreur

[boriskov]

dsl je n'avais pas compris, je débute en réseau donc ....

[Thu Jul 10 01:38:24 2008] [error] [client 67.15.181.25] File does not exist: /var/www/index.php
[Thu Jul 10 01:38:24 2008] [error] [client 67.15.181.25] File does not exist: /var/www/dotproject
[Thu Jul 10 01:38:24 2008] [error] [client 67.15.181.25] File does not exist: /var/www/cacti
[Thu Jul 10 01:38:25 2008] [error] [client 67.15.181.25] File does not exist: /var/www/index2.php
[Thu Jul 10 01:38:25 2008] [error] [client 67.15.181.25] File does not exist: /var/www/admin
[Thu Jul 10 01:38:25 2008] [error] [client 67.15.181.25] File does not exist: /var/www/webcalendar

[_Mac_]

Il me semble que les erreurs sont assez explicites, non ? Est-ce normal que ces fichiers soient demandés, et si oui, où se trouvent-ils réellement ?

[boriskov]

ces fichiers n'existent pas sur le serveur web de la DMZ(192.168.1.30) mais certains d'entre eux sont présents sur le serveur (192.168.1.130) mais je ne sais pas dans quel fichiers ces se font

[_Mac_]

Décidément, y a quelque chose que je ne pige pas : tu nous dis que http://192.168.1.30/test/ n'affiche pas la même page que http://192.168.1.3/monappliweb/ mais toutes les traces que tu donnes ne parlent pas de /test. D'où viennent les traces que tu as données et que se passe-t-il quand tu demandes /test ? Donne les traces pour les 2 serveurs quand tu demandes /test uniquement, histoire de ne pas polluer les traces avec d'autres requêtes si c'est possible, parce que là, y a du WebDAV, bref, c'est pas facile.

[boriskov]

merci de m'aider je vous en suis très reconnaissant, votre aide m'est très précieuse.
en fait j'aimerais que lorsqu'un utilisateur se connecte a l'adresse http://192.168.1.30/test il soit redirigé vers le serveur la racine du serveur web 172.16.1.X

les logs obtenus en se connectant a ladresse indiquée ci-dessus sont les suivants:

[Thu Jul 10 15:48:57 2008] [warn] proxy: No protocol handler was valid for the URL /test/. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.

[Jonathan.b]

Petites précision :

Boriskov reprend mon problème en cours.
On a légèrement changé la configuration de nos tests.

Les deux serveurs sont toujours dans la DMZ.
Lorsque l'on affiche l'url http://192.168.1.30/test, nous devrions voir la page présente sur l'url http://192.168.1.130 à la racine.

Nous avons donc une redirection http du serveur 192.168.1.30 vers le serveur 192.168.1.130.

Voici donc le nouveau fichier de configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
ServerName 192.168.1.30
ProxyPreserveHost On
 
<VirtualHost *:80>
 
	ServerAdmin webmaster@localhost
 
	<proxy *>
		Options +FollowSymLinks
		AllowOverride All
		order allow,deny
		allow from all
	</proxy>
 
	<Location /test/>
		ProxyPass <a href="http://192.168.1.130/" target="_blank">http://192.168.1.130/</a>
		ProxyPassReverse <a href="http://192.168.1.130/" target="_blank">http://192.168.1.130/</a>
	</Location>
 
	DocumentRoot /var/www/
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>
 
	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>
 
	ErrorLog /var/log/apache2/error.log
 
	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel warn
 
	CustomLog /var/log/apache2/access.log combined
	ServerSignature On
 
    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>
 
</VirtualHost>

Il n'y a que le début qui nous intéresse, le reste est la configuration par défaut d'Apache.

Lorsque je suis sur le serveur 192.168.1.30, j'ouvre un navigateur sur l'adresse suivante http://192.168.1.30/test à 17h56 (je peux mettre également localhost ou 127.0.0.1) et j'ai le message suivant :

Forbidden

You don't have permission to access /test/ on this server.

Voici le log d'Apache (/var/log/apache2/error.log) sur le serveur 192.168.1.30 :

[Thu Jul 10 17:18:40 2008] [error] [client 127.0.0.1] File does not exist: /var/www/favicon.ico
[Thu Jul 10 17:22:55 2008] [notice] caught SIGWINCH, shutting down gracefully
[Thu Jul 10 17:23:05 2008] [notice] Apache/2.2.4 (Ubuntu) configured -- resuming normal operations
[Thu Jul 10 17:56:25 2008] [warn] proxy: No protocol handler was valid for the URL /test/. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.

et le log apache du serveur 192.168.1.130 (le serveur distant) :

Rien. Il n'y a pas d'erreur avec une heure supérieure à 17h56

Je rappelle juste que ces tests ont parfaitement fonctionné du coté LAN de notre réseau. Nous sommes maintenant du coté DMZ et je me demande si notre firewall (pix cisco) ne nous gênerai pas un peu au niveau des permissions. Cependant, nous n'avons aucune solution en suivant les logs.

En esperant que cela vous donne un début de piste...

[_Mac_]

La trace qui tue :

[Thu Jul 10 17:56:25 2008] [warn] proxy: No protocol handler was valid for the URL /test/. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.

Le problème vient de là, je dirais : vous avez activé mod_proxy mais pas le sous-module mod_proxy_http. Une chtite recherche sur votre ami le moteur de recherche bien connu, leader de son marché, vous en apprendra plus. On peut voir vos conf LoadModule, etc. ?

[boriskov]

un grand merci a toi _MAC_ pour ta précieuse aide, comme tu me la conseillé, j'ai intégré le sous module proxy_http dans les modules utilisés et la.... tout marche, c'est nikel
merci