[guru madness] Operazione trivella!

ilsensine · 24-11-2005, 18:05

Ho dovuto risolvere un problema particolare. Ho trovato una soluzione che mi sembra buona, ma vorrei sapere se qualcuno se ne viene fuori con soluzioni alternative.

Problema:
Ho una serie di computer, A1, A2...An. Ogni computer "A" può comparire e scomparire dalla rete; ovvero non si può assumere a priori la presenza di quali elementi. I computer "A" tra loro non si possono contattare.
Mettiamo che i computer escano su internet tramite il gateway B. E' come in una rete aziendale, con la differenza che B non può essere contattato da internet e che i nodi interni A non sono in comunicazione tra loro.
Possiamo però mettere mano a piacimento sui singoli computer A, e su un computer C, un server pubblico su internet. Ogni computer A può ovviamente contattare C.

I vari computer A hanno un web server.

Il problema è far sì che, tramite C, si possa accedere tramite internet - con un url apposito - ai web server di A, quando questi server sono in esecuzione. Ad esempio l'url http://www.C.org/pc_A3 dovrebbe mettermi in comunicazione diretta con il web server di A3.

Come fareste voi?

dierre · 24-11-2005, 18:17

se usi un web server apache, credo tu possa usare i virtual hosts dal computer C

samu76 · 24-11-2005, 18:28

non me ne intendo ma provo a buttarla li...

impostare iptables e le tabelle di route del pc C affinche, non appena gli giunga una richiesta per il webserv di un pc, questo, giri in automatico la richiesta a tale pc, previa verifica del suo stato on line...

sui vari pc, settare iptables affinche accetti solo richieste da parte di C e che da pc Ax possa uscire solo traffico verso C

altra soluzione,

virtual server su pc C, è nelle varie sezioni virtual, montare in NFS la partizione /var/www dei vari pc sparsi per la rete

spero di non aver detto una vagonata di stupidate

SilverXXX · 24-11-2005, 18:29

Un programmino ad hoc?

ilsensine · 24-11-2005, 18:33

Quote:

Originariamente inviato da dierre

se usi un web server apache, credo tu possa usare i virtual hosts dal computer C

Questa è solo parte della soluzione. Rimane il problema di come Apache su C possa contattare gli altri Apache.

ilsensine · 24-11-2005, 18:34

Quote:

Originariamente inviato da samu76

non me ne intendo ma provo a buttarla li...

impostare iptables e le tabelle di route del pc C affinche, non appena gli giunga una richiesta per il webserv di un pc, questo, giri in automatico la richiesta a tale pc, previa verifica del suo stato on line...

sui vari pc, settare iptables affinche accetti solo richieste da parte di C e che da pc Ax possa uscire solo traffico verso C

Non fattibile, C non può contattare gli A.
Stessa cosa sul nfs (soluzione interessante, ma - a parte il problema sulla connessione - troppo vulnerabile: che succede se un A scompare?)

kingv · 24-11-2005, 18:36

potresti configurare su C apache come reverse proxy e da i vari A crearti dei tunnel ssh verso C. Su C i tunnel SSh dovrebbero essere protetti da firewall in modo da essere accessibili solo dalla macchina stessa (per non scavalcare apache).

sull'apache di C i mapping sarebbero del tipo:
/host1 -> http(s)://locahost:20081
/host2 -> http(s)://locahost:20082
ecc.ecc.

oppure si potrebbe pensare qualche trucco con netcat.

domani in ufficio provo se si puo' fare.

_YTS_ · 24-11-2005, 18:39

tunnel sul gateway?
porte diverse su web server dei pc An?

mm bel problema!

ilsensine · 24-11-2005, 18:40

Quote:

Originariamente inviato da kingv

potresti configurare su C apache come reverse proxy e da i vari A crearti dei tunnel ssh verso C. Su C i tunnel SSh dovrebbero essere protetti da firewall in modo da essere accessibili solo dalla macchina stessa (per non scavalcare apache).

sull'apache di C i mapping sarebbero del tipo:
/host1 -> http(s)://locahost:20081
/host2 -> http(s)://locahost:20082
ecc.ecc.

Un tunnel ssh l'ho preso in considerazione, ed in effetti è una soluzione fattibile. L'ho scartata in quanto i computer A hanno veramente poca potenza, e non mi sembrava il caso di introdurre la crittografia o comunque il passaggio per un altro programma user space. Inoltre, non so quanto facilmente questo tunnel possa essere creato in automatico senza intervento dell'utente (ad es. tramite script o programmi appositi che si interfacciano con ssh).

Quote:

oppure si potrebbe pensare qualche trucco con netcat.

Non conosco netcat; in effetti lavorare con i web server non è il mio forte, mi sono trovato in mezzo a questo pasticcio per caso.
Fortuna che avevo un sistemista che ha pensato subito al reverse proxy, mi ha tolto metà del problema.

ilsensine · 24-11-2005, 18:43

Quote:

Originariamente inviato da _YTS_

tunnel sul gateway?

Il problema è proprio nei tunnel tra gli An e C. ssh è una soluzione, io ne ho implementata una più leggera (e discretamente "originale") -- altre idee?

kingv · 24-11-2005, 18:43

Quote:

Originariamente inviato da ilsensine

Fortuna che avevo un sistemista che ha pensato subito al reverse proxy, mi ha tolto metà del problema.

ti ha tolto il problema di indirizzare la comunicazione da C ma non riesco a capire come hai fatto a trasportare poi la richiesta verso i web server di A[1-n]

non e' importante, ma per curiosità A sono palmari?

ilsensine · 24-11-2005, 18:46

Quote:

Originariamente inviato da kingv

non e' importante, ma per curiosità A sono palmari?

no, qualcosa di meno potente

gromit60 · 24-11-2005, 18:52

Una niubbata: una vpn? es. con openvpn...
Creando una vpn dove C è il centro ed i vari A vi si connettono quando sono up. Poi mi pare che diventino nè più nè meno degli host della rete (virtuale).

edivad82 · 24-11-2005, 19:00

uhm...hai implementato il reverse proxy, ok, rimane il problema però per accedere ai contenuti, da C ad A[x]

gli A[x] richiedono tramite proxy le pagine di se stessi e vengono cacheate?

no, cavolata, C non ci arriva

ilsensine · 24-11-2005, 19:03

Possibile che non esiste qualche altra soluzione banale? Non si può fare in qualche modo un semplice tunnel ip-ip se entrambi i nodi non si vedono?

Guruteeeeech dove sei!!

ilsensine · 24-11-2005, 19:05

Quote:

Originariamente inviato da gromit60

Una niubbata: una vpn? es. con openvpn...
Creando una vpn dove C è il centro ed i vari A vi si connettono quando sono up. Poi mi pare che diventino nè più nè meno degli host della rete (virtuale).

Bè non volevo arrivare a tanto...la mia soluzione è molto più semplice (anzi se è l'unica ora vado e la brevetto

)

edivad82 · 24-11-2005, 19:11

Quote:

Originariamente inviato da ilsensine

Possibile che non esiste qualche altra soluzione banale? Non si può fare in qualche modo un semplice tunnel ip-ip se entrambi i nodi non si vedono?

Guruteeeeech dove sei!!

beh, tunneling http si può fare anche da proxati/nattati (soluzione molto in voga nelle varie università con pc di appoggio esterno per navigare senza problemi

)

edivad82 · 24-11-2005, 19:14

http://www.nocrew.org/software/httptunnel.html

http://www.htthost.com/quick_overview.boa

edivad82 · 24-11-2005, 19:26

cmq la più semplice la vedo con un tunnel ssh con la solita opzione -L

dierre · 24-11-2005, 19:26

Quote:

Originariamente inviato da ilsensine

Questa è solo parte della soluzione. Rimane il problema di come Apache su C possa contattare gli altri Apache.

Beh con l'ip interno alla rete.
Cioè se C non può contattare gli A non c'è soluzione al tuo problema secondo me.
altrimenti apache degli "A" risponde di default alla porta 80 dell'ip interno. Tu non devi far altro che elencare i virtual hosts in C

24-11-2005, 18:05	#1
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	[guru madness] Operazione trivella! Ho dovuto risolvere un problema particolare. Ho trovato una soluzione che mi sembra buona, ma vorrei sapere se qualcuno se ne viene fuori con soluzioni alternative. Problema: Ho una serie di computer, A1, A2...An. Ogni computer "A" può comparire e scomparire dalla rete; ovvero non si può assumere a priori la presenza di quali elementi. I computer "A" tra loro non si possono contattare. Mettiamo che i computer escano su internet tramite il gateway B. E' come in una rete aziendale, con la differenza che B non può essere contattato da internet e che i nodi interni A non sono in comunicazione tra loro. Possiamo però mettere mano a piacimento sui singoli computer A, e su un computer C, un server pubblico su internet. Ogni computer A può ovviamente contattare C. I vari computer A hanno un web server. Il problema è far sì che, tramite C, si possa accedere tramite internet - con un url apposito - ai web server di A, quando questi server sono in esecuzione. Ad esempio l'url http://www.C.org/pc_A3 dovrebbe mettermi in comunicazione diretta con il web server di A3. Come fareste voi? __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

24-11-2005, 18:17	#2
dierre Senior Member Iscritto dal: Sep 2004 Città: Interamnia Urbs Messaggi: 2126	se usi un web server apache, credo tu possa usare i virtual hosts dal computer C __________________ Un wormhole (buco di tarlo, in italiano), detto anche Ponte di Einstein-Rosen, è una ipotetica caratteristica topologica dello spaziotempo che è essenzialmente una "scorciatoia" da un punto dell'universo a un altro, che permetterebbe di viaggiare tra di essi più velocemente di quanto impiegherebbe la luce a percorrere la distanza attraverso lo spazio normale. Go to a Wormhole

24-11-2005, 18:28	#3
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	non me ne intendo ma provo a buttarla li... impostare iptables e le tabelle di route del pc C affinche, non appena gli giunga una richiesta per il webserv di un pc, questo, giri in automatico la richiesta a tale pc, previa verifica del suo stato on line... sui vari pc, settare iptables affinche accetti solo richieste da parte di C e che da pc Ax possa uscire solo traffico verso C altra soluzione, virtual server su pc C, è nelle varie sezioni virtual, montare in NFS la partizione /var/www dei vari pc sparsi per la rete spero di non aver detto una vagonata di stupidate __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

24-11-2005, 18:29	#4
SilverXXX Senior Member Iscritto dal: Jan 2004 Città: Gatteo Messaggi: 2955	Un programmino ad hoc? __________________ And so at last the beast fell and the unbelievers rejoiced. But all was not lost, for from the ash rose a great bird. The bird gazed down upon the unbelievers and cast fire and thunder upon them. For the beast had been reborn with its strength renewed, and the followers of Mammon cowered in horror.

24-11-2005, 18:39	#8
_YTS_ Senior Member Iscritto dal: Oct 2003 Città: La Spezia Messaggi: 962	tunnel sul gateway? porte diverse su web server dei pc An? mm bel problema! __________________ Gigabyte ga-p55-ud6 \| Intel i7 860 \| 2x2gb Corsair xms3 \| Adaptec 2410sa \| raid1 barracuda 500gb 7200.12 \| Intel x25-m 80gb G2 \| ATI radeon 4890 \| tutto in downclock (non ho parenti all'enel)

24-11-2005, 18:36	#7
kingv Senior Member Iscritto dal: Jan 2001 Città: Milano Messaggi: 5707	potresti configurare su C apache come reverse proxy e da i vari A crearti dei tunnel ssh verso C. Su C i tunnel SSh dovrebbero essere protetti da firewall in modo da essere accessibili solo dalla macchina stessa (per non scavalcare apache). sull'apache di C i mapping sarebbero del tipo: /host1 -> http(s)://locahost:20081 /host2 -> http(s)://locahost:20082 ecc.ecc. oppure si potrebbe pensare qualche trucco con netcat. domani in ufficio provo se si puo' fare.

24-11-2005, 18:52	#13
gromit60 Senior Member Iscritto dal: May 2004 Città: Rimini Messaggi: 655	Una niubbata: una vpn? es. con openvpn... Creando una vpn dove C è il centro ed i vari A vi si connettono quando sono up. Poi mi pare che diventino nè più nè meno degli host della rete (virtuale). __________________ §§§ E' inutile cercare un gatto nero in una stanza buia. Soprattutto quando non c'è§§§

24-11-2005, 19:00	#14
edivad82 Senior Member Iscritto dal: Nov 2001 Città: Gavirate (Varese) Messaggi: 7168	uhm...hai implementato il reverse proxy, ok, rimane il problema però per accedere ai contenuti, da C ad A[x] gli A[x] richiedono tramite proxy le pagine di se stessi e vengono cacheate? no, cavolata, C non ci arriva __________________ ·.·´¯`·)»Davide«(·´¯`·.· edivad82:~#/etc/init.d/brain restart - edivad82:~# cd /pub && more beer

24-11-2005, 19:03	#15
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Possibile che non esiste qualche altra soluzione banale? Non si può fare in qualche modo un semplice tunnel ip-ip se entrambi i nodi non si vedono? Guruteeeeech dove sei!! __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

24-11-2005, 19:14	#18
edivad82 Senior Member Iscritto dal: Nov 2001 Città: Gavirate (Varese) Messaggi: 7168	http://www.nocrew.org/software/httptunnel.html http://www.htthost.com/quick_overview.boa __________________ ·.·´¯`·)»Davide«(·´¯`·.· edivad82:~#/etc/init.d/brain restart - edivad82:~# cd /pub && more beer Ultima modifica di edivad82 : 24-11-2005 alle 19:17.

24-11-2005, 19:26	#19
edivad82 Senior Member Iscritto dal: Nov 2001 Città: Gavirate (Varese) Messaggi: 7168	cmq la più semplice la vedo con un tunnel ssh con la solita opzione -L __________________ ·.·´¯`·)»Davide«(·´¯`·.· edivad82:~#/etc/init.d/brain restart - edivad82:~# cd /pub && more beer

Strumenti
Mostra una versione stampabile Invia questa pagina per email