[gull] Web server and changing IPs

Philippe Strauss philou at philou.ch
Tue Aug 31 17:21:28 CEST 2010


par exemple si proxya ou proxyc dispatch les requêtes concernant les 
<img src=...> à proxyb. (ou concernant les script js etc...).

j'ai pas de réponse à la requête de Daniel, je ne sais pas à quel point 
un setup de proxy multiples comme chez le client de Daniel est répandu 
(rare mais à quel point?), idem concernant l'enforcement d'une IP 
cliente unique concernant une session, comme du côté de l'appli. à 
Daniel (et son employeur).

Dans tous les cas, un proxyd serait insérable après proxyb et proxyc, 
faisant du source nat, mais le setup serait du côté client de Daniel, et 
plutôt bordelique, une emplatre sur une jambe de bois comme on dit, ou 
broken as designed, si cela ne sonne pas trop fort comme terminologie.

Olivier Evalet wrote:
> Je pose la question par curiosité, je me place en béotien . Si le
> serveur reçoit ces requêtes avec des ip différentes c'est qu'il y a un
> aiguillage? un truc comme ça:
>
>                            +----[proxyb]--+
> [client]-->[proxya]-+----[proxyc]--+--[serveur]
>
> C'est étrange comme chemin mais si c'est ce que je comprend, les
> proxya/proxb ont forcément des ip différentes. Cependant comment un
> chemin de ce genre peut il exister?
>
> merci,
> olivier
>
>
> 2010/8/31 Daniel Cordey<dc at mjt.ch>
>> Question de detail pour laquelle je n'arrive pas a trouver de reponse
>> claire sur le net. Ca me semble evident, mais j'ai un interlocuteur qui
>> ne semble pas comprendre... Je m'explique :
>>
>> Nous avons un client qui utilise un proxy pour acceder a notre site.
>> Toutefois, alors que nous avons renvoye une page HTML avec plusieurs
>> references a des images et autres, les "GET" lies au contenu de cette
>> page arrivent de plus d'une adresse IP... Comme nous avons renforce nos
>> procedures de securite, nous detectons une/des adresse IP differente de
>> celle utilisee pendant la procedure de login... Nous considerons alors
>> qu'il s'agit d'une intrusion potentielle et invalidons la session...
>>
>> Existe-t-il un document particulierement explicite (en-dehors du RFC
>> 3022) qui dit clairement que N serveurs proxy doivent avoir la meme
>> adresse IP vue de l'exterieur ?
>>
>> Que se passerait-il si j'utilisais le protocole https ? Le serveur
>> Apache/ssl rejetterait-il aussi la connexion ?
>>
>> Expliquer cela a des gens qui ne comprennent pas tres bien le probleme
>> n'est pas evident :-(
>>
>> dc
>> _______________________________________________
>> gull mailing list
>> gull at forum.linux-gull.ch
>> http://forum.linux-gull.ch/mailman/listinfo/gull
>
>
>
> --
> -------------------------------
> olivier.gelux.ch
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull

-- 
Ph. Strauss



More information about the gull mailing list