<div dir="ltr">Ecco,<div><br></div><div>sembra che tinyproxy possa fare a caso mio:</div><div><br></div><div>tinyproxy.conf<br><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap"># Upstream:
#
# Turns on upstream proxy support.
#
# The upstream rules allow you to selectively route upstream connections
# based on the host/domain of the site being accessed.
#
# For example:
# # connection to test domain goes through testproxy
# upstream testproxy:8008 ".test.domain.invalid"
# upstream testproxy:8008 ".<a href="http://our_testbed.example.com">our_testbed.example.com</a>"
# upstream testproxy:8008 "<a href="http://192.168.128.0/255.255.254.0">192.168.128.0/255.255.254.0</a>"
#
# # no upstream proxy for internal websites and unqualified hosts
# no upstream ".<a href="http://internal.example.com">internal.example.com</a>"
# no upstream "<a href="http://www.example.com">www.example.com</a>"
# no upstream "<a href="http://10.0.0.0/8">10.0.0.0/8</a>"
# no upstream "<a href="http://192.168.0.0/255.255.254.0">192.168.0.0/255.255.254.0</a>"
# no upstream "."
#
</pre></div><div><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">#ReverseOnly Yes</pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap"><br></pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">Proverò. Oltre a tinyproxy dovrò togliere il portforward della 80,443 verso il server attuale e aggiungerle nelle porte accettate (tipo ssh per accedere al router).</pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">Così potrò avere sulla 443 i vari webserver dei vari hosts (anche più di un server per host) e anche OpenVPN gestito dallo stesso router.</pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap"><br></pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">Fabio</pre></div></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 28 dicembre 2015 08:47, FabioB <span dir="ltr"><<a href="mailto:fbettoni@gmail.com" target="_blank">fbettoni@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Ciao,<div>ancora non ho trovato una soluzione accettabile, ma:</div><div><br></div><div>- ngnix ha footprint minore di apache, ma credo sia ancora troppo grosso per OpenWrt di un routerino. Vorrei utilizzare qualcosa di veramente small. In fondo è poco più di un TCP proxy.</div><div><br></div><div>- iptables permette di fare packet inspection per cercare delle stringhe nei pacchetti, ma non credo sia così evoluto per fare quello che voglio</div><div><br></div><div>- non ho capito da Paolo perché non possa avere un certificato con dominio pubblico su un server interno. Credo che sia così nel 99% dei server web. Il router fa proxy in chiaro verso il server interno che ha il suo certificato. Suppongo invece che dovrò avere sul server due VirtualHost con certificato per accedere da IP pubblico e da IP privato.</div><div><br></div><div>Fabio</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 28 dicembre 2015 02:17, Paolo Meraviglia <span dir="ltr"><<a href="mailto:aixammimation@gmail.com" target="_blank">aixammimation@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><p dir="ltr">premetto: mai fatto con openwrt, ma quello che vuoi si chiama reverse proxy.</p><p>Come consiglia Elena, lascia perdere apache che è un macigno: nginx è più facile e leggero da gestire.<br></p><p>Per il discorso HTTPS, purtroppo che io sappia la miglior configurazione è questa:</p><p>internet(https) -------- (HTTPS wan ) openwrt (HTTP lan) ---------- PC destinatario interno(HTTP)<br></p><p>Non puoi forwardare per quanto ne so traffico HTTPS secondo url per come stai facendo, in quanto i certificati dovresti registrarli secondo l'ip esterno e il nome host esterno della macchina o del sito digitato nell'url.</p><p>Per forwardare, a livello di iptables, non puoi fare un forwarding in base all'url ma devi farlo in base alla porta, protocollo o ip.<br></p><p dir="ltr"><br></p><p>Questa configurazione funziona e ti evita il problemi legati a certificati firmati in modo scorretto, ma ovviamente fa ricadere il "carico" di https sul router.</p><p><br></p><p>googlando rapidamente: <a href="http://www.cyberciti.biz/faq/howto-linux-unix-setup-nginx-ssl-proxy/" target="_blank">http://www.cyberciti.biz/faq/howto-linux-unix-setup-nginx-ssl-proxy/</a></p><p><br></p><p>Quello che vuoi fare alla fine rientra nel problema MITM, non credo sia fattibile in quanto dovresti rewritare il pacchetto in fase di forwarding, cosa che senza decrittare il pacchetto non puoi fare.</p><p><br></p><p>Io per togliermi il problema, se credi un router non regga il carico, butterei la 443 verso un server interno con la funzione di load balancer che come ti ho descritto sopra smisterebbe il traffico.</p><p><br></p><p>Se trovi info o se riesci a fare un transparent reverse proxy https fammi sapere, sono anche io interessato al problema applicato non a openwrt ma ad altro, ma ti dico subito quando mi documentai a suo tempo ricordo la cosa come non fattibile.</p><p>Per il discorso http invece non penso tu abbia carichi eccessivi, quindi non penso vi possan esser grossi problemi ad usare solo openwrt</p><span><font color="#888888"><p><br></p><p>Paolo<br></p></font></span><div><div><p><br></p>
<div class="gmail_quote">Il 27/dic/2015 20:24, "Elena ``of Valhalla''" <<a href="mailto:valhalla-l@trueelena.org" target="_blank">valhalla-l@trueelena.org</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2015-12-27 at 18:52:50 +0100, FabioB wrote:<br>
> Domanda:<br>
> Vorrei che un proxy o un webserver su OpenWRT inoltrasse da WAN a LAN in<br>
> base all'URL ai vari pc, tipo VirtualHost ma con la possibilità di<br>
> inoltrare le richieste/traffico ai vari PC in LAN.<br>
><br>
> Suppongo che una configurazione vada gestita in userspace e non in<br>
> kernelspace con iptables.<br>
<br>
credo anche io, pronta ad essere smentita<br>
<br>
> Inoltre nel caso di https. dovrebbe solo inoltrare in maniera trasparente<br>
> in modo da evitare il carico di CPU del router e fare gestire i certificati<br>
> ai singoli webserver sui PC.<br>
><br>
> E' fattibile secondo voi con OpenWRT, senza scomodare apache o squid-cache ?<br>
<br>
io prima di apache scomoderei nginx, che è abbastanza fatto apposta per<br>
queste cose<br>
<br>
--<br>
Elena ``of Valhalla''<br>
_______________________________________________<br>
Lombardia mailing list<br>
<a href="mailto:Lombardia@ml.ninux.org" target="_blank">Lombardia@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/lombardia" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/listinfo/lombardia</a><br>
</blockquote></div>
</div></div></div>
<br>_______________________________________________<br>
Lombardia mailing list<br>
<a href="mailto:Lombardia@ml.ninux.org" target="_blank">Lombardia@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/lombardia" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/listinfo/lombardia</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>