Bearbeiten von „UUGRN:Dienste/Proxy“
Aus UUGRN
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden.
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und speichere dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 1: | Zeile 1: | ||
− | UUGRN betreibt für interne | + | UUGRN betreibt für interne zwecke einen zentralen Web-Proxy. |
{{Navigationsleiste Dienste}} | {{Navigationsleiste Dienste}} | ||
__TOC__ | __TOC__ | ||
− | + | == Zweck == | |
− | |||
− | |||
Implementiert wird der Proxy-Server durch squid<ref name="squid">{{Homepage2|www.squid-cache.org|Squid Cache}}</ref>. | Implementiert wird der Proxy-Server durch squid<ref name="squid">{{Homepage2|www.squid-cache.org|Squid Cache}}</ref>. | ||
− | Der primäre Einsatzzweck ist dadurch entstanden, dass wir mit [[UUGRN:Jails/ | + | Der primäre Einsatzzweck ist dadurch entstanden, dass wir mit [[UUGRN:Jails/shd_ftp|ftp.uugrn.org]] das ersten rein auf IPv6 basierende Jail in Betrieb genommen haben. Da in diesem Jail auch Mirror-Scripte laufen (werden), die Dateien von IPv4-only-Quellen beziehen, wurde dieser Proxy erforderlich. |
− | Umgekehrt ist es außerdem möglich von einem IPv4-only-Client aus auf einen IPv6-only Server (z.B. [[UUGRN:Jails/ | + | Umgekehrt ist es außerdem möglich von einem IPv4-only-Client aus auf einen IPv6-only Server (z.B. [[UUGRN:Jails/shd_ftp|ftp.uugrn.org]]) zuzugreifen. |
Auch wenn heutzutage (Stand: 3/2013) die überwiegende Anzahl von öffentlichen Diensten auf Ipv4 angeboten wird, so könnte es in absehbarer Zeit passieren, dass bestimmte Angebote nur noch über IPv6 ordentlich zugreifbar sein werden. | Auch wenn heutzutage (Stand: 3/2013) die überwiegende Anzahl von öffentlichen Diensten auf Ipv4 angeboten wird, so könnte es in absehbarer Zeit passieren, dass bestimmte Angebote nur noch über IPv6 ordentlich zugreifbar sein werden. | ||
− | + | == Zugriffe == | |
Dieser Service wird nur und ausschließlich für IPv4 und IPv6 Adressen von UUGRN angeboten. | Dieser Service wird nur und ausschließlich für IPv4 und IPv6 Adressen von UUGRN angeboten. | ||
Es findet keine Anonymisierung statt, alle Zugriffe werden protokolliert und Clients werden über den ''X-Forwarded-for''-Header dem Zielsystem übermittelt. | Es findet keine Anonymisierung statt, alle Zugriffe werden protokolliert und Clients werden über den ''X-Forwarded-for''-Header dem Zielsystem übermittelt. | ||
− | + | == Ausblick == | |
− | + | Zukünftig könnte parallel zum Web-Proxy-Cache (squid<ref name="squid">{{Homepage2|www.squid-cache.org|Squid Cache}}</ref>) auch ein Apache als Reverse-Proxy<ref>[http://httpd.apache.org/docs/2.2/mod/mod_proxy.html Apache Module mod_proxy]</ref> betrieben werden um IPv4/IPv6 mit/ohne SSL umzusetzen auf Backend-Dienste, die in anderen Jails und ohne öffentliche IP-Adresse laufen. | |
+ | Gerade für SSL könnten hier SNI (Server Name Identifcation=mehere SSL-zertifikate hinter einer IP-Adresse auf dem gleichen port<ref>{{Wikipedia2|Server_Name_Indication|Server Name Indication}}</ref>) und/oder SAN (SubjectAltName=ein SSL-Zertifikat mit mehreren gültigen Namen zusätzlich zum CommonName<ref>[http://en.wikipedia.org/wiki/Subject_Alternative_Name en.wikipedia.org/wiki/Subject_Alternative_Name]</ref>) zum Einsatz kommen oder bei IPv6 dedizierte IP-Adressen mit dedizierten SSL-Zertifikaten. Prinzipiell währen auch dedizierte IPv4-Adresse auf diesem ReverseProxy möglich jedoch aufgrund der prinzipiellen Knappheit von IPv4-Adressen kein favorisiertes Setup. | ||
− | + | Das gleiche ist prinzipiell auch möglich für Webapplikationen, die in anderen Jails in einem Application Server (zB Tomcat<ref>{{Homepage2|tomcat.apache.org|Apache Tomcat}}</ref>) betrieben werden. Hier könnte Apache mit ajp<ref>[http://httpd.apache.org/docs/2.2/mod/mod_proxy_ajp.html Apache mod_proxy_ajp}</ref><ref>[http://tomcat.apache.org/connectors-doc/ Apache Tomcat Connector, mod_jk]</ref>zum Einsatz kommen. | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | Es wäre prinzipiell denkbar einen über die [[UUGRN:LDAP|Benutzerdatenbank]] authentifizierten Benutzerbetrieb des Web-Proxy-Caches (squid<ref name="squid">{{Homepage2|www.squid-cache.org|Squid Cache}}</ref>) zu gestatten um Mitgliedern mit IPv4-only den Zugriff auf IPv6 zu gewähren. | ||
== Siehe auch == | == Siehe auch == | ||
− | * | + | * [[UUGRN:Jails/shd proxy|proxy.uugrn.org]] |
== Weblinks == | == Weblinks == |