Jailing - SSL - mehrere IP's

Thrasher

Thrasher

SystemBitch
Hey kleine Teufelgruppe :-)


bin jetzt an der umsetzung unseres Whitelabel Hosting Produktes mitwelchem wir unseren Kunden ein kompletten Webserver (In einer Jail) mit einem Frontend zur verfügung stellen.

Nun, Problem SSL. Hab bereits einige Jail Servers am laufen und bin bis anhin immer mit 1 IP ausgekommen. Nun aber, hat jeder "Partner" die Möglichkeit 30 Virtualwebs einzurichten. Er könnte somit 30 SSL Webs erstellen und müsste somit 30 fixe IP's haben.

Ich hab gegoogelt und gesehn das es einen Hernel Hack gibt mitwelchem man mehrere IP's pro Jail definieren kann.

Meine frage nun: Hat jemand dieses Problem auch schon gehabt? Wie habt ihr es gelöst?.. Erfahrungen goodies oder bad news was den hack betrifft....

Vor / Nachteile?

Danke euch vielmals für eure Antworten :D

Greetings Thrasher
 
Grüß Dich,

ist es zwingend notwendig, für jeden virtuellen Server eine eigene IP zu vergeben?
Z.B. der Apache bietet die Möglichkeit, nur auf einer IP zu horchen, auf welche aber mehrere DNS-Namen zeigen und er sich dann aus der Config den entsprechenden DocumentRoot bzw. andere Einstellungen holt.

Mehr Infos zur VirtualHost-Direktive (beim Apache2) findest Du hier. Für den 1.3er Indianer ist das ganze unter dieser Adresse zu finden.

Funzt so, dass Du halt am DNS sagst, dass first.example.tld und second.example.tld usw. alle auf 192.168.0.123 zeigen sollen und konfigurierst den Apachen so, dass er halt schaut, welcher DNS-Name aufgerufen wurde.

Das ganze sollte ohne Probleme im Jail funzen und is soweit auch einfacher als am Kernel zu patchen :D

mfg,

ulrik
 
Salü k3rn3lpanic


Das ist mir natürlich schon klar aber ich schreib ja von SSL und bei https musst du Pro domain eine fixe IP haben. VirtualHosts laufen unter http ohne Probleme, dem ist mir auch klar, aber unter https, geht dem nicht....


Danke trotzdem :-)


Sonst niemand ne Idee ????..... ;'(
 
hi mal wieder,

@trasher
setze einen ssl-proxy auf, der die anfragen von aussen an die jails weiterleitet.
anleitungen gibbet bei puretec/1und1 in den FAQ's

wir lesen uns
 
hab nen Patch gefunden

Patch


nun aber bekomme ich diese Fehler wenn ich den Kernel baue. bin ehrlich, bin darin noch nicht so der Hirsch...hat jemand ne Idee hierbei ?....

src/sys/contrib/dev/ath/freebsd -I/usr/src/sys/contrib/ngatm -D_KERNEL -include opt_global.h -fno-common -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -mno-align-long-strings -mpreferred-stack-boundary=2 -ffreestanding -Werror /usr/src/sys/netinet6/in6_pcb.c
/usr/src/sys/netinet6/in6_pcb.c: In function `in6_pcbbind':
/usr/src/sys/netinet6/in6_pcb.c:129: error: 'cred' redeclared as different kind of symbol
/usr/src/sys/netinet6/in6_pcb.c:124: error: previous definition of 'cred' was here
/usr/src/sys/netinet6/in6_pcb.c:142: error: `td' undeclared (first use in this function)
/usr/src/sys/netinet6/in6_pcb.c:142: error: (Each undeclared identifier is reported only once
/usr/src/sys/netinet6/in6_pcb.c:142: error: for each function it appears in.)
*** Error code 1


Gruss und Danke

Hannes
 
Zuletzt bearbeitet:
ssl proxy ????...wie funzt denn das ?...

Idee ist jedem Partner ne Jail zu geben damit der selber mal "Webmaster" spielen darf :)
 
hmmm, da oben isst's mir momentan zuuuu kalt *g*...

okay, werde dies mal auskosten :-)


mit dem Patch hab ich noch weiter Probiert. Es ging alles bis zum punkt wo ch die jail starten wollte. Da hat er mir das argument mit 2 ips nicht akzeptiert. wohl nicht die feine art ...

okay, mach mich mal an den ssl proxy *g*....
 
hmmm, haben wir uns richtig verstanden?... Ihr meint schon das man mehrere SSL Web's auf 1 IP laufen lassen kann, oder?....

dnen, wie ich jetzt auch nochmals uder der Site von pound gelesen habe, ist es ja so nicht möglich da zuerst der connect passiert bevor der Hostheader angegeben wird.

Somit, hätte ich 1 externe IP, oder?.. Das Jail aber, hätte ne private IP bzw. für jeden host eine ip, oder wie?... geht ja gar nicht oder?... wie soll denn der proxy merken für welches web es ist, bevor der connect stattgefunden hat..oder irre ich mich da irgendwo gewaltig ?.... *chaospuur*g*...

*bald auf den Berg steig*g*...

MErci

Greetings Thrasher
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben