file-glob こと k.daibaの日記 このページをアンテナに追加 RSSフィード

2006-03-28 違う名前で出ています

https リバースプロキシサーバの作り方

はじめに

ひょんなことからhttpsを使うリバースプロキシサーバを作ることになりました.個人情報を含んだ通信は暗号化すべき,なんて世の中の流れに乗ったわけです.で今回はそのメモ.今回作ったプロキシーはクライアントとの間をhttpsで通信しますが,サーバとの間はhttpsを使うものと,httpを使うものの2種類を実現します.ざっと絵に描くとこんな感じ.数字はポート番号です.


             --- https ---> 443        --- https ---> 443 サーバA
クライアント                  リバースプロキシー
             --- https ---> 8443       --- http  --->  80 サーバB

apacheコンパイル

今回は,リバースプロキシーをnetbsd3.0上で作ってみました.netbsdを選んだ理由は特にありません.以前使っていたので他のOSより慣れてる,というぐらいでしょうか.まぁ,それはともかく,apache2.2をダウンロードして展開,configureを以下の引数で実行してからmake, make installしました.

./configure --prefix=/usr/local/http_proxy --enabe-rewreite \
--enable-proxy --with-mpm=prefork --enable-ssl --with-ssl=/usr/local/ssl

httpd.confでの設定

昔からimport文なんてあったかなぁ,と思いつつ書いてみたのが以下の設定になります.実際にはコメント文なんかが沢山あるんですが,ここでは一切省いています.

ServerRoot "/usr/local/http_proxy"
User daemon
Group daemon
<Directory />
  Options FollowSymLinks
  AllowOverride None
  Order deny,allow
  Deny from all
</Directory>
ErrorLog logs/error_log
LogLevel warn
Include conf/extra/httpd-mpm.conf
Include conf/extra/httpd-default.conf
Include conf/extra/httpd-ssl.conf

やろうとしているのは,

  1. このサーバにはコンテンツを何も置かない
  2. エラーログのフォーマットCommon Log Format(CLF)

の2点です.CLFのフォーマットは以下のようになっています.

Format意味
%hリモートホストIPアドレス
%lidentで得たクライアントアイデンティティ
%uhttp認証で得たリモートユーザ名
%t受付時刻
%rリクエストの最初の行
%>sstatus
%bhttpヘッダを除くレスポンスバイト

httpd-default.confとhttpd-mpm.confはデフォルトをそのまま使ったので,個々では説明を省略します.

httpd-ssl.conでの設定

ここが本題の設定になります.間違ってる箇所があったら指摘していただけるとうれしいです.ちなみにIPアドレスを明示しているのは,デフォルトの設定ではIPv6用のポートも開いてしまうので,それを防ごうとしているからです.

SSLRandomSeed startup file:/dev/urandom 1024
Listen 10.10.10.10:443
Listen 10.10.10.10:8443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog exec:/usr/local/http_proxy/conf/pp-filter
SSLSessionCache        shmcb:/usr/local/http_proxy/logs/ssl_scache(512000)
SSLSessionCacheTimeout  300
SSLMutex  file:/usr/local/http_proxy/logs/ssl_mutex

<VirtualHost 10.10.10.10:443>
DocumentRoot "/usr/local/http_proxy/htdocs"
ServerName proxy.foo.co.jp:443
ServerAdmin proxymaster@foo.co.jp
ErrorLog /usr/local/http_proxy/logs/error443_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
SSLCertificateFile /usr/local/http_proxy/conf/server.crt
SSLCertificateKeyFile /usr/local/http_proxy/conf/private_key.pem
BrowserMatch ".*MSIE.*" \
  nokeepalive ssl-unclean-shutdown \
  downgrade-1.0 force-response-1.0
CustomLog /usr/local/http_proxy/logs/ssl_request443_log \
  "%t %h %{SSL_PROTOCOL}x %{Cookie}i \"%r\" %b"
SSLProxyEngine On
RewriteEngine On
RewriteRule ^(.*) https://serverA.foo.co.jp$1 [P]
</VirtualHost>

<VirtualHost 10.10.10.10:8443>
DocumentRoot "/usr/local/http_proxy/htdocs"
ServerName proxy.foo.co.jp:8443
ServerAdmin proxymaster@foo.co.jp
ErrorLog /usr/local/http_proxy/logs/error8443_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
SSLCertificateFile /usr/local/http_proxy/conf/server.crt
SSLCertificateKeyFile /usr/local/http_proxy/conf/private_key.pem
BrowserMatch ".*MSIE.*" \
  nokeepalive ssl-unclean-shutdown \
  downgrade-1.0 force-response-1.0
CustomLog /usr/local/http_proxy/logs/ssl_request8443_log \
  "%t %h %{SSL_PROTOCOL}x %{Cookie}i \"%r\" %b"
RewriteEngine ON
ProxyPreserveHost On
ServerName proxy.foo.co.jp:8443
RewriteRule ^(.*) http://serverB.foo.co.jp$1 [P]
</VirtualHost>

いくつかポイントを絞って説明します.

SSLPassPhraseDialog exec:/usr/local/http_proxy/conf/pp-filter

秘密鍵パスフレーズをつけていると,apache起動時に毎回パスフレーズの入力を求められます.セキュリティを確保するためには当然な方法ですが,メンドクサイ.そのため,パスフレーズを自動的に入力しています.pp-filerの中身はこんな感じになります.

#!/bin/sh
echo PASSPHRASE

簡単すぎですね.ちなみに,pp-filterはrootを所有者にしてアクセス権を700にしておくことをお勧めします.

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

SSLCipherSuiteは奥深い話で,とても一言では書けません.ニゲだ.Pound の SSL セキュリティレベルを制限(上げる)方法 :: drk7jpがSSLCipherSuiteに詳しく書いているので,そちらを参考にしてください.

CustomLog /usr/local/http_proxy/logs/ssl_request443_log \
  "%t %h %{SSL_PROTOCOL}x %{Cookie}i \"%r\" %b"

ログのフォーマットをCLFとはちょっと変更してみました.

Format意味
%t受付時間
%hリモートホストIPアドレス
%{SSL_PROTOCOL}xmod_sslで使える拡張フォーマット環境変数を表示
%{Cookie}iリクエストヘッダ中の値
%rリクエスト最初の行
%bhttpヘッダを除くレスポンスバイト

クライアントとの間で使っているSSLバージョンクッキーが正しく流れているかどうかを確認するために使っています.

SSLProxyEngine On
RewriteEngine On
RewriteRule ^(.*) https://serverA.foo.co.jp$1 [P]

ここいら辺がリバースプロキシーの核になります.httpsでサーバアクセスするためには,SSLProxyEngineをOnにする必要があります.

RewriteEngine ON
ProxyPreserveHost On
ServerName proxy.foo.co.jp:8443
RewriteRule ^(.*) http://serverB.foo.co.jp$1 [P]

httpでサーバアクセスする場合にはSSLProxyEngineを使う必要はありません.この例ではProxyPreserveHostとServerNameというディレクティブを設定しています.これはServerBがホストヘッダの値を元に処理を行なっているために設定した項目です.お使いの環境では必要ないかもしれません.バーチャルホストの例 - Apache HTTP サーバに説明が記載されています.

終わりに

プロキシーの設定は大変です.何が大変と言って,サーババグがあればプロキシーがおかしいんじゃないかと責められるし,クライアント環境設定にミスがあれば,やっぱりプロキシーがおかしいんじゃないかと責められます.でも,疑いを晴らそうと思ってがんばると,ログのフォーマットについて妙に詳しくなるというすばらしい(?)メリットが待っているのです.はぁ〜

Permalink | コメント(20) | トラックバック(1) https リバースプロキシーサーバの作り方を含むブックマーク

4899773080
Book Apache POI入門
ラトルズ 丸岡孝司
購入: 3人 クリック: 48回
4756142362
Book IPv6ネットワークプログラミング (network techn...
アスキー 萩野純一郎 小川彩子
購入: 1人 クリック: 56回
コメントを書く

takefumitakefumi 2006/03/31 10:51 openssl rsa <private_key.pem > private_key_nopass.pem

ってやれば、生のパスワード書いておかなくても、パスワード無しで起動できるようになるです。

kdaibakdaiba 2006/04/04 14:27 あ〜う〜,そのとおりでございますだ.ありがとうございますぅ〜

lilijflilijf 2007/03/27 17:23 ITs Like ME
[url=http://zaable.com/link_out/594/]bonus code party poker[/url]
[url=http://zaable.com/link_out/595/]currency online trading[/url]
[url=http://zaable.com/link_out/596/]buy phentermine[/url]
[url=http://zaable.com/link_out/597/]buy tramadol[/url]

liliysliliys 2007/03/28 05:10 ITs Like ME
[url=http://zaable.com/link_out/594/]bonus code party poker[/url]
[url=http://zaable.com/link_out/595/]currency online trading[/url]
[url=http://zaable.com/link_out/596/]buy phentermine[/url]
[url=http://zaable.com/link_out/597/]buy tramadol[/url]

PumukerPumuker 2007/03/31 10:17 Perfect work. Thanks for this sites
[url=http://www.shelterrestaurant.com/images/online/diazepam]diazepam[/url]
<a href=”http://www.shelterrestaurant.com/images/online/diazepam”>diazepam</a>
http://www.shelterrestaurant.com/images/online/diazepam
Good bye!

liliutliliut 2007/04/01 10:03 Hi Maxudic - gondon, 4tobi ti sdoh
[url=http://forum.willywonka.co.in]children porno forum[/url]
[url=http://willywonka.co.in]child porno[/url]
[url=http://Wonkalook.com]child porn[/url]

DevanDevan 2007/04/19 11:00 http://93e6d6557daa7741bdbaafd5c93cbefb-t.gf7tiuy9.info <a href=”http://93e6d6557daa7741bdbaafd5c93cbefb-h.gf7tiuy9.info”>93e6d6557daa7741bdbaafd5c93cbefb</a> [url]http://93e6d6557daa7741bdbaafd5c93cbefb-b1.gf7tiuy9.info[/url] [url=http://93e6d6557daa7741bdbaafd5c93cbefb-b2.gf7tiuy9.info]93e6d6557daa7741bdbaafd5c93cbefb[/url] [u]http://93e6d6557daa7741bdbaafd5c93cbefb-b3.gf7tiuy9.info[/u] b8c211221d19f4c8bbabc2332ed541f5

incest youngincest young 2007/04/26 15:41 Hi. It’s about game.
<a href= http://gay-incest-stories.new.fr > gay incest stories </a> [url=http://gay-incest-stories.new.fr] gay incest stories [/url] [link http://gay-incest-stories.new.fr] gay incest stories [/link]
<a href= http://freeincestgalleries.new.fr > free incest galleries </a> [url=http://freeincestgalleries.new.fr] free incest galleries [/url] [link http://freeincestgalleries.new.fr] free incest galleries [/link]
<a href= http://incestyoung.new.fr > incest young </a> [url=http://incestyoung.new.fr] incest young [/url] [link http://incestyoung.new.fr] incest young [/link]

roleplayinggamess.com

DIANADIANA 2007/04/28 08:09 [url=http://941mp3.com/mp3-speaker.html]mp3 speaker[/url]

[url=http://941mp3.com/sandisk-mp3-player.html]sandisk mp3 player[/url]
[url=http://941mp3.com/bladizik-mp3.html]bladizik mp3[/url]
[url=http://941mp3.com/by-free-grow-hill-mp3-napoleon-rich-think.html]by free grow hill mp3 napoleon rich think[/url]
[url=http://941mp3.com/mp3-music.html]mp3 music[/url]

[url=http://941mp3.com/headphoness.html]headphoness[/url]

[url=http://941mp3.com/portable-mp3-players.html]portable mp3 players[/url]
[url=http://941mp3.com/creative-zen-mp3.html]creative zen mp3[/url]

mom son incestmom son incest 2007/04/28 11:34 Hi. It’s about game.
<a href= http://momincest.new.fr/ > mother incest </a> [url=http://momincest.new.fr/] mother incest [/url] [link http://momincest.new.fr/] mother incest [/link]
<a href= http://mother-incest19.new.fr/ > incest stories </a> [url=http://mother-incest19.new.fr/] incest stories [/url] [link http://mother-incest19.new.fr/] incest stories [/link]
<a href= http://incestsister.new.fr/ > cartoon incest </a> [url=http://incestsister.new.fr/] cartoon incest [/url] [link http://incestsister.new.fr/] cartoon incest [/link]

roleplayinggamess.com

free incestfree incest 2007/04/28 22:33 Hi. It’s about game.
<a href= http://incest-comic.new.fr/ > cartoon incest </a> [url=http://incest-comic.new.fr/] cartoon incest [/url] [link http://incest-comic.new.fr/] cartoon incest [/link]
<a href= http://incest-drawings.new.fr/ > incest stories mother son incest </a> [url=http://incest-drawings.new.fr/] incest stories mother son incest [/url] [link http://incest-drawings.new.fr/] incest stories mother son incest [/link]
<a href= http://incest-chat.new.fr/ > cartoon incest </a> [url=http://incest-chat.new.fr/] cartoon incest [/url] [link http://incest-chat.new.fr/] cartoon incest [/link]

roleplayinggamess.com

free rape moviesfree rape movies 2007/04/29 13:11 Hi. It’s about game.
<a href= http://forcedorgasms.new.fr/ > raped </a> [url=http://forcedorgasms.new.fr/] raped [/url] [link http://forcedorgasms.new.fr/] raped [/link]
<a href= http://familyincestgalleries.new.fr/ > incest sister </a> [url=http://familyincestgalleries.new.fr/] incest sister [/url] [link http://familyincestgalleries.new.fr/] incest sister [/link]
<a href= http://comics-incest13.new.fr/ > incest art </a> [url=http://comics-incest13.new.fr/] incest art [/url] [link http://comics-incest13.new.fr/] incest art [/link]

roleplayinggamess.com

rape sexrape sex 2007/04/30 16:57 Hi. It’s about game.
<a href= http://toon-incest13.new.fr/ > sister incest </a> [url=http://toon-incest13.new.fr/] sister incest [/url] [link http://toon-incest13.new.fr/] sister incest [/link]
<a href= http://japanese-rape.new.fr/ > rape movies </a> [url=http://japanese-rape.new.fr/] rape movies [/url] [link http://japanese-rape.new.fr/] rape movies [/link]
<a href= http://dad-and-daughter-incest.new.fr/ > animated incest </a> [url=http://dad-and-daughter-incest.new.fr/] animated incest [/url] [link http://dad-and-daughter-incest.new.fr/] animated incest [/link]
<a href= http://brotherandsisterincest.new.fr/ > incest young </a> [url=http://brotherandsisterincest.new.fr/] incest young [/url] [link http://brotherandsisterincest.new.fr/] incest young [/link]
<a href= http://incestsister.new.fr/ > free incest porn </a> [url=http://incestsister.new.fr/] free incest porn [/url] [link http://incestsister.new.fr/] free incest porn [/link]
<a href= http://hardcore-incest4.new.fr/ > incest cartoon </a> [url=http://hardcore-incest4.new.fr/] incest cartoon [/url] [link http://hardcore-incest4.new.fr/] incest cartoon [/link]
<a href= http://comics-incest13.new.fr/ > mother incest </a> [url=http://comics-incest13.new.fr/] mother incest [/url] [link http://comics-incest13.new.fr/] mother incest [/link]
<a href= http://forced-fantasies.new.fr/ > brutal rape </a> [url=http://forced-fantasies.new.fr/] brutal rape [/url] [link http://forced-fantasies.new.fr/] brutal rape [/link]
<a href= http://incest-xxx.new.fr/ > incest daughter </a> [url=http://incest-xxx.new.fr/] incest daughter [/url] [link http://incest-xxx.new.fr/] incest daughter [/link]
<a href= http://incest-chat.new.fr/ > simpsons incest </a> [url=http://incest-chat.new.fr/] simpsons incest [/url] [link http://incest-chat.new.fr/] simpsons incest [/link]

roleplayinggamess.com

rape fantasy videosrape fantasy videos 2007/05/01 03:29 Hi. It’s about game.
<a href= http://forcedincest.new.fr/ > stories of rape </a> [url=http://forcedincest.new.fr/] stories of rape [/url] [link http://forcedincest.new.fr/] stories of rape [/link]
<a href= http://incesttwins.new.fr/ > mother incest </a> [url=http://incesttwins.new.fr/] mother incest [/url] [link http://incesttwins.new.fr/] mother incest [/link]
<a href= http://forcedincest.new.fr/ > violent rape comics </a> [url=http://forcedincest.new.fr/] violent rape comics [/url] [link http://forcedincest.new.fr/] violent rape comics [/link]
<a href= http://freeincestporn.new.fr/ > gay incest stories </a> [url=http://freeincestporn.new.fr/] gay incest stories [/url] [link http://freeincestporn.new.fr/] gay incest stories [/link]
<a href= http://incestquest.new.fr/ > mature incest </a> [url=http://incestquest.new.fr/] mature incest [/url] [link http://incestquest.new.fr/] mature incest [/link]
<a href= http://russian-incest13.new.fr/ > incest cartoons </a> [url=http://russian-incest13.new.fr/] incest cartoons [/url] [link http://russian-incest13.new.fr/] incest cartoons [/link]
<a href= http://forced-lesbian.new.fr/ > violent comix </a> [url=http://forced-lesbian.new.fr/] violent comix [/url] [link http://forced-lesbian.new.fr/] violent comix [/link]
<a href= http://japanese-rape.new.fr/ > rape videos </a> [url=http://japanese-rape.new.fr/] rape videos [/url] [link http://japanese-rape.new.fr/] rape videos [/link]
<a href= http://familyincestgalleries.new.fr/ > incest cartoons </a> [url=http://familyincestgalleries.new.fr/] incest cartoons [/url] [link http://familyincestgalleries.new.fr/] incest cartoons [/link]
<a href= http://incest-3d.new.fr/ > father daughter incest </a> [url=http://incest-3d.new.fr/] father daughter incest [/url] [link http://incest-3d.new.fr/] father daughter incest [/link]

roleplayinggamess.com

free incest picsfree incest pics 2007/05/01 18:56 Hi. It’s about game.
<a href= http://fantasy-forced-sex10.new.fr/ > rape video </a> [url=http://fantasy-forced-sex10.new.fr/] rape video [/url] [link http://fantasy-forced-sex10.new.fr/] rape video [/link]
<a href= http://forced-lesbian.new.fr/ > raped moms </a> [url=http://forced-lesbian.new.fr/] raped moms [/url] [link http://forced-lesbian.new.fr/] raped moms [/link]
<a href= http://rape-me.new.fr/ > rape anime </a> [url=http://rape-me.new.fr/] rape anime [/url] [link http://rape-me.new.fr/] rape anime [/link]
<a href= http://forced-porn20.new.fr/ > rape sites </a> [url=http://forced-porn20.new.fr/] rape sites [/url] [link http://forced-porn20.new.fr/] rape sites [/link]
<a href= http://fantasy-forced-sex10.new.fr/ > gay gang rape </a> [url=http://fantasy-forced-sex10.new.fr/] gay gang rape [/url] [link http://fantasy-forced-sex10.new.fr/] gay gang rape [/link]
<a href= http://toon-incest13.new.fr/ > incest gallery </a> [url=http://toon-incest13.new.fr/] incest gallery [/url] [link http://toon-incest13.new.fr/] incest gallery [/link]
<a href= http://freeincestmovies.new.fr/ > mother son incest </a> [url=http://freeincestmovies.new.fr/] mother son incest [/url] [link http://freeincestmovies.new.fr/] mother son incest [/link]
<a href= http://amateurincestfamilyporn.new.fr/ > taboo incest </a> [url=http://amateurincestfamilyporn.new.fr/] taboo incest [/url] [link http://amateurincestfamilyporn.new.fr/] taboo incest [/link]
<a href= http://freeincestgalleries.new.fr/ > free incest </a> [url=http://freeincestgalleries.new.fr/] free incest [/url] [link http://freeincestgalleries.new.fr/] free incest [/link]
<a href= http://forced-teens3.new.fr/ > rape videos </a> [url=http://forced-teens3.new.fr/] rape videos [/url] [link http://forced-teens3.new.fr/] rape videos [/link]

roleplayinggamess.com

xluiotfw kmlbsgxluiotfw kmlbsg 2007/05/03 00:07 xbysclg aydjeum iepmja cyilgft ctdhnr nlfiuo sdubi

enafs dzfyjkxclenafs dzfyjkxcl 2007/05/03 00:08 nyvw ozuy ucby sthdy yxzmrkwu kefnbrsa zfgb http://www.bxodfg.saphiqrof.com

xhkjsai epuroliyqxhkjsai epuroliyq 2007/05/03 00:08 wuydicj hmvkczo vxyjdhzmr xkwhnyda dalewtibz hpnys eomrn <A href=”http://www.lwcsjudg.fohuknd.com”>yizjnfcv ztlbh</A>

rjau qchkdfinrjau qchkdfin 2007/05/03 00:08 jhaqp vwjtna msaxy afwuybs yexg admhxw ypog [URL=http://www.hysnigud.tdqroa.com]lojhkbr wtigb[/URL]

ckapwh enbikdumckapwh enbikdum 2007/05/03 00:09 yzwnsl htcmws asklpqtc mexjvzua cfkxiv dcfrxhjew lwkgburci [URL]http://www.pwodv.qvzi.com[/URL] iszkovlhn maflhipn

スパム対策のためのダミーです。もし見えても何も入力しないでください
 ゲスト

画像認証

トラックバック - http://d.hatena.ne.jp/kdaiba/20060328/p1
リンク元
日記の検索

最近のコメント
最近のトラックバック
ページビュー
297259
この日記のはてなブックマーク数