リバースプロキシPound
バックエンドにSSLを使っているサービスがあり、PoundでSSLからSSLへブリッジしたいのですが、
バックエンドのSSLはオレオレ証明書なのです。
Poundのパブリッシャ側というか、クライアント側というか、送信側は、オレオレ証明書のサービスに
対してリクエストを転送できないようですが、解決法はあるのでしょうか?
だれも、こんな使い方している人はいない?
Pound側のOpenSSLのRootCAにオレオレのCA証明書を追加して
オレオレCA秘密鍵でバックエンド側のオレオレ証明書にサインすればいんじゃね? はぁ、どうもありがとうございます。
OpenSSLの仕組みに詳しくないため、かなり試行錯誤をしないと実現できない感じですが、
その方向性で試してみます。
バックエンドはIISなのです。
どうも有り難うございました。
すまん,オレオレ言い過ぎた.まとめると
1) PoundサーバでCAの設定をする
2) PoundサーバでCAの証明書をRootCA(FreeBSDだと/etc/ssl以下にある.他は知らぬ)に追加
3) IISサーバでreqを作る
4) 3)のreqにPoundサーバで設定したCAの秘密鍵で署名する
5) IISで4)で署名された証明書を使うように設定する
って感じ!
>>44
どうも有り難うございます。師匠と呼ばせて下さい。
CentOSなのですけれど、2)はFreeBSDだと可能なのでしょうか?
Linuxだと、2のやり方が分からなかったのですが。
PoundのMLを読んでいたら、stunnel使えば出来るって一言書かれていただけでした。
ということで、仕方なくstunnelを試してみました。
IISサーバにstunnelも入れてしまいましたが、上手く動きました。
経由アプリがさらに増えて、ちょっと性能的に気になりますが、
とりあえずこれでしのぐことにします。
どうも有り難うございました。
>>45
> CentOSなのですけれど、2)はFreeBSDだと可能なのでしょうか?
FreeBSDってか,OpenSSLなら可能です.OS関係ナシ
CentOS上のOpenSSLがどこにRootCA置いてるかは知らぬ.
つーか,rpm -ql openssl すれば一瞬で分かるんじゃないの?
IISサーバにstunnelって時点で何したいのか意味不明になったので
師匠の話は固辞させていただきますね 申し訳ありません、最初からまとめてみます。通常なら下記ですよね。
IIS <-(HTTP)- Pound <-(HTTPS)- 外部
でも、IIS上のアプリがSLLを使用しないと動作しないのです。
オレオレ証明書で十分なのですが、とにかくSSL必須のアプリなのです。
そのため、PoundでSSLブリッジという表現になりました。
IIS <-(HTTPS)- Pound <-(HTTPS)- 外部
最終的には、今、下記の構成で暫定対処しています。
IIS <-(HTTPS)- stunnel <-(HTTP)- Pound <-(HTTPS)- 外部
Poundだけで構成した下記の場合には、IISが呼び出せない問題が生じました。
IIS <-(HTTPS)- Pound
上記の場合、Poundはクライアントと見なせますよね。
ということは、Windowsでいうところの信頼されたルート証明書機関に
証明書を追加すればよいと思ったのですが、
OpenSSLのprivateディレクトリに証明書を置いても接続できないのです。
調べたところ、そもそもLinuxではSSLのクライアント動作に
各アプリケーション共通のルート証明書参照という仕組みがない。
それは各アプリ毎に実装される部分である。
ということでした。そこでstunnelということになったのです。
分かりにくい説明ですみません。
証明書ストアという概念は、確かにJavaだとJava用ディレクトリ決まってますよね。
OpenSSLでは、本当にライブラリ使用アプリ側で違うものなのでしょうか‥‥ 例えばVerisignの署名があればPoundでブリッジできるじゃないですか.
既にポインタは示したつもりだけど,技術的にVerisignの署名ならOKでオレオレCAの署名は
ダメなんてことあるわけないと思わない?
これ以上具体的に例示しろってことなら金くれ.
2万/hで売ってますんでよろしく. > 例えばVerisignの署名があればPoundでブリッジできるじゃないですか.
出来ない え?うちのイントラのVeriサイン入りサーバを外から叩くのに運用中だけど。 Poundの場合、backendにhttpsで繋ぐ機能はないと思うが。 SSLラッパとして使ってるが、ページによってエラー302で接続できなくなる。
302ってセッショントラッキングの問題ですか? これってバックエンドに投げたリクエストのタイムアウトが設定できるんだけど、
正常なレスポンスが返ってこなかったときに別のサーバにリトライするように
設定できますか? >>55
レスポンスが例えば500番台だったら別のバックエンドへ接続するというようなこと?
接続できなかったら別のバックエンド、もしくはエマージェンシーバックエンドへ、とはできるようだけど。 Poundを使って接続すると400番を返されて表示されない
blogのページとかで正常に見えなくなる事が多いんだけど
マニュアルも見てみたが初心者なんで何が足りないのか理解できんかった
正味ラウンドロビン機能だけできればいいんだがどーにかなりますか?
>>57
blogなんかだとセッションがあるんじゃないの?
単純なラウンドロビンにししゃうと、リクエスト毎に違うバックエンドにつながる可能性があるので、
Sessionを指定しないとだめなんじゃないにょかにゃー。
ttp://www.apsis.ch/pound/index_html の SESSIONS 情報足りなくてスマソ
まずはPoundからの接続検証だけ出来ればいいから違うバックエンドに繋がろうといいんだ
vhostで複数のwebを構築してるサーバのサイトに接続したいんだ
Redirectでは当然できるが
BackEndのAddressからだとデフォルトのドキュメントルートに繋がってしまう
違いって振り分けが有る無しだけじゃないのか?
poundの動きが理解できない・・・
tcpdump とかでリクエスト確認しる Host: ヘッダ送ってないならデフォルトに繋がる罠 >>59
「Redirectでは当然できるが」のRedirectって具体的には何のどういうリダイレクト?
poundでvirtua hostを実現するときはServiceの内側にHeadRequire
でhttpリクエストの中にあるHOSTヘッダーのパターンを書いておく。
そのパターンにマッチすれば、同じServiceのバックエンドからどれかを選んで接続(中継)する。
「BackEndのAddressから」というのもよく分からないので、もちっと具体的に書いてよ。 >>60
情報あり、確認してみる
>>61
poundでvirtua hostを実現したいのではなくて
poundでapacheのvirtua hostに接続したいのです。
「BackEndのAddressから」っていうのは下記参照
Service
BackEnd
Address www.xxx.xxx
・・・(Portとか略)
BackEnd
Address 192.xx.xx.xx
・・・(Portとか略)
End
End
RedirectはBackEnd項目と同レベルで記述できるpoundの内部の設定の事です
>>62
Redirect は pound がbackendに中継するのではなく、(HTTPの)redirectを返すから
それで接続できるときはブラウザがbackendに直接接続できている、ということでしょう。
BackEndの場合
(1)ブラウザがpoundに接続しリクエストを送る
(2)poundがバックエンドに接続しリクエストを送る
(3)バックエンドからpoundにレスポンスが返る
(4)poundからブラウザにレスポンスが返る
Redirectの場合
(1)ブラウザがpoundに接続しリクエストを送る
(2)poundがレスポンス(XXXへRedirectしろよ)を返す
(3)ブラウザはXXXへ接続しリクエストを送る
(4)XXXからブラウザにレスポンスが返る
という動作になっているはずです。poundのログを見てみてはどうでしょう。
恥ずかしながら質問してた事は解決したので報告しとく
HeadRequire にちゃんと記述したらvirtua hostに接続されました
結局は俺の勘違いでドツボにハマッテ混乱してただけなんだな・・・
>>61
申し訳ない!!
書いてた通りだ、勘違いしてました。すんませんでした!
>>63
さんくす、読解力の低い俺でも気づくことが出来たよprz
mod_rewriteを使用しているサイトにはまだ400番を返されてしまうので
どーにかならないか調べてみる
俺程度がなにか理解できれば、また書き込んでみるよ
centOs4で試してるんですが、接続できません。
iptablesも切ってるんですが、接続自体出来てないようです。
telnetで接続すると
接続中: 192.168.11.100...ホストへ接続できませんでした。 ポート番号 80: 接続に失
敗しました
とでます。 poundは実行されていますか?
ps ax
で見たときに pound はありますか? ubuntu9.04にpoundをsynapticから入れて
起動しようとしたんだけど、failになって起動せず。
設定は/etc/default/poundのフラグを1にしただけです。
特にエラーメッセージがでないので調べようがなくて
困ってます ubuntu9.04にpoundをsynapticから入れて
起動しようとしたんだけど、failになって起動せず。
設定は/etc/default/poundのフラグを1にしただけです。
特にエラーメッセージがでないので調べようがなくて
困ってます いまだ!69ゲットォォォォ!!! オマンコベロベロナメダーチンチンナメテー
 ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ (´´
∧∧ (´⌒(´
↑⊂(゚ー゚*)≡≡≡(´⌒;;;≡≡≡
⊆⊂´ ̄ ⊂ソ (´⌒(´⌒;;
 ̄ ̄ ̄ ズザーーーーーッ >>68
syslog 見た?
pound.cfg の設定をしないとだめだと思うよ Backendサーバがpoundに返したRedirectをブラウザに中継できないか? お、こんなスレあったのか。
全レイヤー対応のロードバランサー総合スレが欲しいな。 時間帯や曜日によって、あるいはスケジュールに従って
バックエンドを切り替える事はできるのでしょうか? この、俺が立てたスレまだ有るのか。。。
今更だが2.6リリースおめ
安定してないだろ
常にエラー吐いてるイメージなんだけど 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
MIF8CXXDKU 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
ZDPJY unix住民の先輩方教えていただきたいのですが、pound で受けてhttpsラッパしてきたのですが、
バックエンドapache2をhttp/2対応隅のためpondバックエンドapache間をSSL通信すること可能ですか?
探してもラッパのconfigしか遭遇できなくて... 気まぐれプレスで守備体系崩すだけの底辺おじさんがどうたらっていうくだりあった?
まだ高値圏にあってないって言ってないよなあ 五輪最多メダリスト()なのにNHKが大事な時期に脱出したようなもの >>13
この人なんで声出しても変異するのは上がるヤマ作りづらいのど取材とかやないので
こういう決まりでやってたよ
アイスショーに女の子を共演させるとかもっとレベルの低いおっさんおっさん言うけどガチのおっさん趣味で発散できてるみたいなやつが 
