Discussion :

[T`lash]

Bonjour,

Je loue un serveur web sur lequel tourne déjà Apache et Tomcat (derrière Apache pour un domaine en particulier grâce à mod-jk).
Cependant je voudrais y ajouter un site en Node.js également sur le port 80. Je pourrais le placer derrière Apache comme je le fais pour Tomcat, mais je perdrai tout l'avantage d'une appli Node.js en augmentant énormément la latence.

Donc, existe-t-il un moyen de détourner les connexions normalement destiné à Apache pour un domaine en particulier ? Je ferais tourner Node.js sur le port 8080.

Peut-être avec iptables ? (si c'est le cas il faudra que je m'y remette puisque je n'y ai pas touché depuis 2005)

Merci.

[chrtophe]

Regardes du coté de ton fichier virtualhost :

Listen 80 8080

<VirtualHost *:80>
DocumentRoot /www/site1
ServerName www.site1.com
</VirtualHost>

<VirtualHost *:8080>
DocumentRoot /www/site2
ServerName www.site2.com
</VirtualHost>

[T`lash]

Regardes du coté de ton fichier virtualhost :

Listen 80 8080

<VirtualHost *:80>
DocumentRoot /www/site1
ServerName www.site1.com
</VirtualHost>

<VirtualHost *:8080>
DocumentRoot /www/site2
ServerName www.site2.com
</VirtualHost>

Ce que tu me dis là c'est pour qu'Apache écoute sur 2 ports différents selon le domaine ; moi ce que je veux c'est que pour un domaine donné on utilise un autre logiciel serveur qu'Apache (Node.js dans ce cas précis).
Cela ne peut donc pas être dans un des fichiers de configuration d'Apache puisque le routage doit se faire avant.

[Invité]

Salut,

Peut-être avec iptables ?

oui, je pense aussi que ça devrait être possible avec iptables.

Voici un premier jet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -m string --string domain1.com --to-destination 192.168.1.1:80
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -m string --string domain2.com --to-destination 192.168.1.1:8080

en supposant que 192.168.1.1 est l'IP qui héberge tes hosts (Apache.domain1.com pour le port 80, Nodejs.domain2.com pour le port 8080).

Il faudra également le combiner avec les règles usuelles utilisées pour maintenir les connexions TCP déjà établies.

Steph

[T`lash]

Merci IP_Steph pource début de piste.

À partir de ça j'ai écrit une règle qui devrait fonctionner (j'ai mis le port 10000 pour envoyer vers webmin dans mes tests) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -m string --to 70 --algo bm --string 'mondomaine.fr' -j REDIRECT --to-port 10000

Cependant ce n'est pas le cas. Pourtant les deux règles suivantes fonctionnent correctement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -p tcp -m tcp -i eth0 --dport 80 -m string --to 70 --algo bm --string 'mondomaine.fr' -j DROP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-port 10000

donc match sur le domaine fonctionne avec filter/INPUT, mais pas avec nat/PREROUTING. Là je ne comprends pas tout.

[T`lash]

Un pro d'iptables a-t-il une solution à me donner ?