acceso filtrado con apache y mod_proxy

Posted by on March 11, 2009 Leave a comment (0) Go to comments

Muchas veces en el día a día te piden hacer muchas cosas distintas y hacerlas de la forma mas rápida, eficiente y segura posible. El otro día necesita publicar una aplicación web de mi red privada hacia el mundo para que solo unas personas desde el mundo puedan acceder a la información, claro esto podría haber sido muy sencillo creando una regla de port forward hacia esa maquina a nivel de firewall pero no era lo suficientemente seguro. Ahora aquí entra nuevamente apache y sus módulos, específicamente el mod_proxy.

Apache cuenta con su modulo proxy y no es nada mas ni nada menos que un complemento para hacer de gateway/proxy (no como un router, pero si como un intermediario antes de llegar hacia el destino final).  El modulo funciona en de dos maneras, como forward y reverse, pues me enfocare en el Reverse Proxy ya que fue la solucion que ocupe para mi problema en especifico. Su funcionamiento es totalmente transparente para el cliente como si fuera un Web Server único, el cliente hace los Requests del contenido en el espacio de nombres dentro de Reverse Proxy y es el quien decide si entregar estos contenidos o no, luego los contenidos son devueltos hacia el gateway y mostrados al usuario final. Para ilustrar un poco mas didactico el panorama permitanme mostrar el siguiente grafico:

mod_proxy

mod_proxy

Bien, espero se haya entendido un poco mas de manera simple como funciona. Ahora una pequeña receta probada con Debian Etch pero deberia funcionar en cualquier derivado correspondiente.

En tu /etc/apache2/sites/enabled/default (o donde este tu conf) agregas:

ProxyRequests Off

<Proxy *>
Order deny,allow
Allow from all
 </Proxy>

ProxyPass http://servidor.intranet/bar
ProxyPassReverse http://servidor.intranet/bar

OK, luego reinicias tu apache y con esto bastaría. Ahora puedes hacer la prueba desde el exterior ingresando con tu dominio publico o IP http://mi_ip_publica , si ves el contenido de tu aplicación Interna esta todo bien, de lo contrario recomiendo revisar el sitio de documentacion oficial.

Todo esto mezclado con mod_ssl y mod_auth puede quedar realmente en llamas :) . Ojo con el parámetro ProxyRequests puede ser un agujero de seguridad.

[1] http://httpd.apache.org/docs/2.2/es/mod/mod_proxy.html

[2] http://httpd.apache.org/docs/2.2/es/mod/mod_proxy.html#access

Linux, planet, , , ,

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>