Irgendwo hab ich gelesen dass es sicherer sein soll vor den Apache einen Proxy zuschalten.

Würde dann ja so aussehen

Client <-> Proxy <-> Apache

Is das schwierig zu bewerkstelligen? Da ich auf meinem Rootserver mehr oder minder Webhosting betreibe wollte ich das ganze dann doch mal etwas absichern.

Du brauchst Squid hier nur als "Accelerator" konfigurieren...

Siehe http://www.squid-handbuch.de/hb/ und im speziellen http://www.squid-handbuch.de/hb/node39_ct.html

mfg

Juut das guck ich mir die Tage mal an.

Geilo funzt, dann kommt das heute Abend gleich aufn root auch rauf.

Hmm wollte es gerade auf meinem root machen, aber er schluckt die virtuellen Hosts nicht, ich komme immer auf der selben Seite raus.

Lasse ich aber den Apache auf 80 und Squid auf 3128 und gebe die unterschiedlichen Domains mit :3128 im Browser an lande ich auch auf denen :|

ideas anyone?


[EDIT]

OK habs -.-

Die virtuellen hosts werden auch mit port angegeben, da muss auch noch der neue port vom apache hin.

Gut Gut gefällt mir :D

Komisch, dass es so geht, denn in der Anleitung heisst es doch Wenn Sie virtual port support nutzen wollen, müssen Sie hier "0" angeben.

Naa ist ja nich wirklich virtual port.

Wenn du virtuelle Hosts definierst, dann gibts du ja folgenden parameter

NameVirtualHost IP:Port

und da stand der Port noch auf 80 und nich mehr auf dem neuen vom Apache. Wenn die beiden identisch sind lübbts auch wieder.

So nu gibbet aber doch nen Problem ;(

Folgendes:

www.cabal4u.de geht ohne Probleme auch die ganzen Links. Gebe ich jetzt aber ein tiefergehendes Verzeichnis an z.B. www.cabal4u.de/misc/linux dann steht auf einmal cabal4u.de:8765 in der url, der eigentliche Port auf dem der Apache jetzt arbeitet und den ich jetzt dicht machen wollte.

Kommt schon Jungs keiner ne Idee, ich habs immer noch nicht lösen können ;(

Irgendwo hab ich gelesen dass es sicherer sein soll vor den Apache einen Proxy zuschalten.

Würde dann ja so aussehen

Client <-> Proxy <-> Apache

Is das schwierig zu bewerkstelligen? Da ich auf meinem Rootserver mehr oder minder Webhosting betreibe wollte ich das ganze dann doch mal etwas absichern.mmm...

Seid ihr sicher, dass das ist, was es sein soll :confused:

Squid ist meines Wissens nach ein reiner Proxy. Der Proxy, der beschrieben wurde, sollte aber Netzwerkverkehr filtern und auf unnormale Befehle untersuchen und diese ausfiltern. In wie weit Squid dafür benutzt werden kann, weiß ich nicht, aber ich tippe eher auf http://www.snort.org/ ... vielleicht kann Wuzel nochmal sagen, was er mit "Proxy" gemeint hat und in wie weit Squid das kann ...

Squid arbeitet einach als reverse proxy. Sozusagen ist mein Server dann das Internet und alle anderen die Proxy User. Es funktioniert ja soweit, nur sowie ich tiefer linke übergibt er an den Apache.

Sinn und Zweck der ganze Sache war eigentlich die Idee den Apache von aussen unangreifbar zumachen und seinen Listening Port dicht zumachen. Was aber nicht geht wenn Squid nicht alle Anfragen bearbeitet.

Im Squid Forum meinte wer das könnte nen Apache Konfig Problem sein, aber wirklich weitergeholfen hat mir das dann auch nicht.

naja, wenn squid alle anfragen einfach an den apache durchreicht wird das kaum mehr sicherheit bringen.

ich persönlich habe sehr gute erfahrungen mit der umstellung auf lighttpd gemacht (www.lighttpd.net), allerdings ist die config auf den ersten blick etwas hakelig, es geht aber so gut wie alles was der apache auch kann. Seit dem haben wir auch keine probleme mehr mit script-kiddies, die ständig schwachstellen des apache ausprobieren: weil da schlicht keiner mehr ist ;)

Naja zumindest greifst du auf den Squid und nicht mehr direkt auf den Apachen zu. Ausserdem entfällt etwas Plattenaktivität, da ne Menge direkt von Squid im RAM gehalten wird.

Aber ich will endlich rauskriegen wieso Squid wenn ich nen Ordner mit der Domain mitgebe das direkt an den Apachen gibt.

So ich bin nen Stückchen weiter.

www.cabal4u.de/misc/linux
www.cabal4u.de/misc/linux/

na wem fällts auf, jetzt kann ich 8765 droppen. Allerdings geht dann horde und phpmyadmin nich mehr. Es ist also meiner Meinung nach 100% ein Konfigurationsproblem des Squid.