apache behind proxy ip alternative

Ich sag es mal so, gewußt wie, ist so etwas in 5 min durch.

Folgende Aufgabe war zu lösen.
Ein Apache der als Proxy konfiguriert ist, gibt die Anfragen weiter an einen weiter hinten stehenden Apache Webserver.
Dort kommt nur die IP Adresse des Apache Proxy an. Was auch völlig OK ist. Um jetzt die Seiten vor Zugriffen einzuschränken etc. Wird es nun schwer.

Es gibt hier verschiedene Varianten. Eine Variante die immer und überall zu finden ist Apache X-Forwarded-For Header oder mod_rpaf. Bei Red Hat gibt es sogar einen Eintrag dazu https://access.redhat.com/solutions/470883 das es hier keinen Support gibt.

Also was tun? Ich finde beide Lösungen schon brauchbar. Ich habe durch zufall in einem anderen Blog einen Eintrag bei den Kommentaren gelesen. Es gibt eine Alternative Namens “mod_extract_forwarded”

http://www.ctkn.net/2011/10/install-mod_rpaf-on-centos-5-centos-6/

http://rpm.pbone.net/index.php3/stat/4/idpl/16934135/dir/redhat_el_6/com/mod_extract_forwarded-2.0.2-8.el6.x86_64.rpm.html

Nach kurzem Test, erfüllt genau was es soll.

Wenn das Packet installiert ist. Wird eine Conf Datei mit dem Namen mod_extract_forwarded.conf angelegt. Diese Conf Datei sollte noch kurz angeschaut werden und wenn notwendig angepasst werden.

In seiner Vhost conf kann nun folgendes eingebaut werden.
Um den Zugriff von außen zu blocken.

location
Order deny,allow
Deny from all
Allow from 127.0.0.1
Allow from 48.218.133.111
Allow from 10.
Allow from 45.125.47.22
location

LoadModule extract_forwarded_module modules/mod_extract_forwarded.so

# MEForder can have either of two value ‘refuse,accept’ or ‘accept,refuse’ and
# specifies the order in which the information in two associated directives,
# MEFaccept and MEFrefuse, are intepreted. The MEFaccept and MEFrefuse
# directives are each used to spcifiy one or more IP numbers.

MEForder refuse,accept

# MEFrefuse can be ‘all’ OR a list of IP numbers and/or domain names of trusted
# proxy servers whose IP number can be derived by DNS from the domain name.
# The presence of ‘all’ overrides any particular IP numbers and means that no
# proxy servers are to be trusted. Individual IP numbers mean that those proxy
# servers having them are not to be trusted. This defaults to ‘all’.

#MEFrefuse all

# MEFaccept can be ‘all’ OR a list of IP numbers and/or domain names of trusted
# proxy servers whose IP number can be derived by DNS from the domain name.
# The presence of ‘all’ overrides any particular IP numbers and means that all
# proxy servers are to be trusted.
# Individual IP numbers mean that those the proxy servers having them are to be
# trusted. This defaults to an empty list of trusted IP numbers.

# MEFaccept 1.2.3.4 1.2.3.5

MEFaccept all

# Normal mode of use is to say:
#
# MEForder refuse,accept
# MEFrefuse all
# MEFaccept space separated list of your trusted proxy servers’ IP numbers
#
# with the MEForder directive saying apply the MEFrefuse rule first then the
# MEFaccept rule.
# The MEFrefuse rule says do not trust any proxy servers but this is selectively
# overridden for particular IP numbers listed by the MEFaccept directive.

# MEFaddenv can be ‘off’, ‘on’ (the default) or a string. ‘off’ means that when
# spoofing, do not add an environment variable whose value is the IP number of
# the connecting machine. ‘on’ means that when spoofing, add an environment
# variable called ‘MEF_RPROXY_ADDR’ whose value is the IP number of the
# connecting machine.
# A string means that when spoofing, add an environment variable named by the
# string supplied whose value is the IP number of the connecting machine.

MEFaddenv on

# MEFdebug can be ‘on’ or ‘off’ (the default). When turned ‘on’ information
# about how the mod_extract_forwarded module is processing every request to your
# Apache 2 server, and any associated internal redirects or subsrequests, is
# written to the server’s error_log.
# The amount of output written and the way it is generated is such that you
# would never normally want to turn this feature on.
# This feature is intended for debugging operation of the mod_extract_forwarded
# module and it is unlikely you will want to do that.

MEFdebug off

ifconfig alternative

Ifconfig, route und arp sind alte Tools unter Linux ohne die man nicht wirklich drumherum kommt.
Doch es ist eine gute Alternative Verfügbar, die alles über einen Befehl macht.
“IP” nennt sich der Befehl.
Unter DEbian/Ubuntu/Fedora findet sich das Programm im Packet “iproute”

Hier mal ein paar Befehle

Statistik

ip -s link
Zeigt den Traffik an
ip -o link
Zeigt Adressen und Routen dazu an

ip neigh show
Zeit einem sämtliche Nachbarn an, zuvor wäre ein Broadcast ping nicht schlecht

Ich habe jetzt etwas damit gearbeitet, es ist deutlich logischer aufgebaut wie die alten Befehle.

Wer mehr lesen möchte kann dies hier tun

http://www.policyrouting.org/iproute2-toc.html

NAS verschlüsseln

Ich bin schon lange am überlegen dies mal zu tun.
Da ich das NAS auch öfters mal mitnehme. Habe ich mir überlegt die Daten zu verschlüsseln.

Klar als ertes kommt einem Truecrypt über den Weg. Wer eine integrierte Lösung sucht kann dies ohne weiteres haben.

FreeNas 8.2 mit ZFS kann dies leider noch nicht. Was mein Favorit wäre. Doch Open Source macht einiges möglich.

Es gibt NAS4FREE http://www.nas4free.org/key_features.html hier kann auch ZFS verwendet werden.
Was nach wie vor mein Favoriten Dateisystem ist.

Das tolle daran es bietet ein integriertes Verschlüsselungssystem

http://wiki.nas4free.org/doku.php?id=documentation:setup_and_user_guide:disk_encryption

Wer mehr über das Modul lesen möchte, kann hier lesen

http://www.freebsd.org/cgi/man.cgi?query=gbde&sektion=4
Kurz gesagt AES 128 Bit was ausreichend ist.

Was wichtig ist, bei jedem starten des NAS den Schlüssel ( pass-phrase) eingeben.
Sonst hat das ganze keinen Sinn.

Ich installier das die Tage mal bei mir!!

Online Backup?

Da ich oft als privater IT Sklave bei den Leuten, Ihre kleinen Fehler behebe, fällt mir immer häufiger auf.
Es ist keine Datensicherung vorhanden.
Aktueller Fall.
Notebook und Ubuntu installiert. Aus irgendwelchen Gründen wurde alles platt gemacht und Ubuntu über die ganze Platte installiert. Ende vom Lied. Ich bin gerade dabei raus zu kopieren was raus zu kopieren noch geht. NTFS und jetzt EXT4 drüber gebügelt. Ach wird das schön, mach mir da weniger Hoffnungen.
Hätte er sich für 50 $ im Jahr ein Online Backup wie http://www.backblaze.com/de_DE/ gegönnt, wären nun alle Bilder da.
Es geht ja oft nur um solche statischen Daten, die lädt man einmal hoch und gut ist.
Dropbox kennt man vielleicht und sogar noch Amazon S3, gibt es nur begrenzt Speicherplatz für eine Summe X. Bei Backblaze ist keine Beschränkung vorhanden. Liegen auf dem Rechner 500 GB an Daten kein Problem. Man bezahlt immer nur pro Rechner.
Der Upload ist der einzige Flaschenhals.

Das tolle an http://www.backblaze.com/de_DE/ ist, installieren und es sichert alles, was nicht ausgenommen ist.
Ausgenommen ist zum Beispiel, das Windows Verzeichnis, man kann weitere Ausnahmen hinzufügen.
Bewerbungen etc, kann man alles raus nehmen und nur so die Bilderdaten etc sichern. Falls man bedenken hat.
Gerade für nicht IT Leute ideal.

Sollte dies einem nicht genügen so empfehle ich für den Geschäftlichen Einsatz http://www.Mount10.ch . Die Daten liegen in einem alten Militär Bunker, der bis vor ein paar Jahren noch im Einsatz war. Ich durfte dieses Bollwerk besichtigen.
Ich darf leider nicht ins Detail gehen. Ich habe unterschrieben, keine Details zu veröffentlichen. Auf der Homepage von Mount10 gibt es einige Details. Anschauen lohnt sich. Dafür ist der Preis auch ordentlich.

Jetzt gibt es sicherlich ein paar Technische Dinge, die ich kurz erkläre.

Eingestellt ist sichere keine Datei größer als 4 GB, dies kann in den Optionen ausgeschaltet werden. Nennt sich dort “File Size unlimited”

Die Daten werden verschlüsselt per SSL vom Rechner ins Rechenzentrum übertragen.
Es ist möglich im Client einen eigenen privaten Schlüssel zu hinterlegen. Ich empfehle dies jedem.
Somit ist gewährleistet, dass alle Daten gut verstaut sind.
Die Daten werden auf der Festplatte mit AES abgelegt, sind somit sicher.
Details zus Verschlüsselung gibt es hier
http://blog.backblaze.com/2008/11/12/how-to-make-strong-encryption-easy-to-use/

Kein Speicherplatz Limit. Es wird nur pro Rechner bezahlt
Die ersten 2 GB sind Gratis, ideal zum ausprobieren.
Sollten neue Daten auf dem Rechner sein, so werden diese Automatisch vom Client erkannt und hochgeladen.
Dies dauert je nach Upload des Internet Zugangs etwas.

Ich benutze Backblaze nut seit ein paar Monaten und kann sagen. Ja es funktioniert ohne Probleme. Restore geht ohne Probleme.
Die CPU/RAM Last ist nicht spürbar.

Die Software gibt es für Windows und MAC OS X.

*Update* Hier noch eine Ergänzung aus dem Kommentar, danke für den Hinweis
Der Anbieter könnte den Betrieb einstellen. Dies ist bei allen genutzen Diensten im Internet möglich.
Es richtet sich wirklich an Privat Personen und kleine Unternehmen.