Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adresou

Informace o novinkách a změnách na 4smart.cz
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adresou

Příspěvek od 4smart.cz »

Dobrý den.

4smart.cz dnes spustil reverzní http proxy server na IP adrese 77.93.202.118
.

Díky němu lze provozovat obyčejný web pouze s neveřejnou IPv4 adresou, která je přidělena Vašemu VPS. Toto řešení umožní uspořit náklady uživatelů za veřejnou IPv4 adresu, kteří chtějí provozovat web a jejichž ostatní služby nezávisí na použití veřejné IPv4 adresy.

Jediným omezením je absence podpory https, podporován je pouze protokol http.

Jak postupovat, pokud chci http proxy používat pro svůj web s registorvanou doménou

1) Svému VPS přidělte neveřejnou IPv4 adresu prostřednictvím webového administračního rozhraní 4smart.cz
2) Kontaktujte mou maličkost na podpora[at]4smart.cz a sdělte mi, že máte zájem o využití reverzního http proxy. V emailu uveďte neveřejnou IPv4 adresu svého VPS a celý název své domény, např. mojedomena.cz, případně také všechny sub-domény, které chcete směrovat na jiné vnitřní IP adresy !
Je totiž možné, pokud máte více subdomén, pro každou z nich nastavit jinou vnitřní IP, tedy směrovat komunikaci na různá VPS.
3) Jakmile obdržíte odpověď, upravte nastavení DNS A-záznamu své domény (u svého registrátora) tak, aby překlad Vaší domény probíhal na IP 77.93.202.118.
4) Během několika minut poté by mělo vše fungovat.
5) Nyní odeberte veřejnou IPv4 adresu a svůj VPS restartujte, nebo před odebráním veřejné IPv4 adresy změňte výchozí routovací pravidlo podle přidělené
neveřejné IPv4 adresy. Pokud jen odeberete veřejnou IPv4 adresu, bude komunikace přerušena, protože původní výchozí síťová cesta bude nezměněna.

Je využití http proxy zpoplatněno ?
Není, http proxy je a výhledově bude zdarma dostupný všem uživatelům 4smart.cz.
Naší motivací je také uvolnění alespoň malého množství veřejných IPv4 adres pro uživatele, kteří se bez nich neobejdou.
Problémy s jejich nedostatkem tímto řešíme s předstihem.

Kdy není využití http proxy vhodné ?
Například pokud na stejném webu provozujete současně poštovní server (Postfix, Sendmail). Jeho správná funkce je většinou podmíněna nejen přítomností veřejné IPv4 adresy, ale také správným nastavením DNS záznamů (MX, PTR). Http proxy totiž propouští pouze protokol http, ostatní protokoly zkrátka neřeší.

Stejně tak se do svého VPS nepřihlásíte přes SSH, pokud budete zadávat IP adresu http proxy. V tomto případě ale stačí pouze namapovat port 22 své neveřejné IPv4 adresy a bez veřejné IP se tedy spokojeně obejdete. K příhlášení posléze použijete veřejnou IPv4 HW uzlu a nestandardní port - zde IP adresa reverzního http proxy nevystupuje.

Tolik jen pro ujasnění souvislostí i pro méně zkušené uživatele.

Bezpečnost http proxy
Virtuální server, kde se reverzní http proxy nachází implementuje několik pravidel iptables, která zabraňují přístupu do intranetu na port 80 k jiným neveřejným IPv4 adresám, než které jsou povoleny. Prohlížení záměrně zkrytých webových služeb (např. VoIP ústředny s www rozhraním) za NATem je tak nemožné.

J.M.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od 4smart.cz »

Prave byl odladen interni DNS server nasi nove reverzni http proxy.
Jsou podporovany libovolne subdomeny, aniz by bylo treba je presne specifikovat.

Reverzni http proxy (77.93.202.118) od vcerejsiho dne vyuziva prvni z nasich zakazniku,
pro ukazku funkcnosti ostatnim zajemcum:

http://www.sedlaczech.net

Pripadni zajemci, kteri chteji usetrit za verejnou IPv4 adresu a pritom provozovat stabilne svuj Web, necht se prihlasi na podpora[at]4smart.cz a postupuji podle kroku vyse.
Do budoucna bude tato funkcionalita integrovana do www admin. rozhrani 4smart.cz a obejde se bez me ucasti.

J.M.
sedlaczech
Příspěvky: 26
Registrován: sob 09. úno 2013 12:49:13
Bydliště: Zruč nad Sázavou
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od sedlaczech »

Moje žádost (nebo spíše nápad) na provoz webu bez vlastní IPv4 byl velmi rychle realizován a odladěn. Díky tomu teď zbytečně nezabírám IPv4 adresu (kterých už moc není) s malým využitím a zároveň ušetřím na provozu serveru 40Kč/měsíc.
Pro někoho to může být zanedbatelná částka, ale mě, studentovi IT s relativně nízkými příjmy, to umožňuje rozšířit služby na mém serveru, aniž bych do něj musel investovat více peněz.
Myslím si, že se najdou i další, kterým toto řešení usnandní finanční situaci spojenou s provozem serveru.
Jediný nedostatek, který v tomto řešení vidím, je absence HTTPS. Nevím, zda bude tato funkce v budoucne zahrnuta, ani nevím zda je to při tomto způsobu řešní přes proxy možné (sítě nejsou zrovnou tou částí IT, o kterou se zajímám), ale pro provoz obyčejného webu je to ideální řešení.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od xsouku04 »

No https je určitě možné provozovat na nějakém nestandardním portu, který máte přemapovaný.
Když se bude chtít někdo přihlásit tak ho prostě pošlete na https://mojezabezpecena.sedlaczech.net:44657 .
Důležité je, že nemusíte po uživateli chtít, aby se ten podivný port pamatoval a zadával do prohlížeče, prostě ho jen v případě potřeby přihlášení nasměrujete na zabezpečený přesměrovaný port.
sedlaczech
Příspěvky: 26
Registrován: sob 09. úno 2013 12:49:13
Bydliště: Zruč nad Sázavou
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od sedlaczech »

Tohle řešení mě nenapadlo, sice to bude vyžadovat kromě nastavení portforwardingu i úpravu DNS pro danou subdoménu, ale použitelné to je.
Díky za radu.
oldpc
Příspěvky: 0
Registrován: pon 18. úno 2013 0:03:51

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od oldpc »

Vypadá to lákavě, ale "Vaše maličkost" pak zná moji IP a všechny porty, které používá, to mi přijde jako pořádná bezpečnostní díra.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od 4smart.cz »

Pokud Vás to povzbudí, mám úplný přístup ke Všem virtuálním serverům - do jejich adresářové struktury, k jejich IP adresám a síťovým službám
a mohu jakkoliv zasahovat do běhu virtuálního serveru, pokud je to potřeba - při řešení potíží, při kontrole stavu VPS, při škálování, apod.
To jaksi obvykle admin podobných projektů má. Mimo to, 4smart.cz monitoruje síťovou komunikaci všech VPS, to abychom byli schopni vždy vypátrat zdroj nebo cíl případného síťového útoku (IP adresy) a určit jeho typ. O Vašem VPS tedy vím Vše - pokud je to zrovna předmětem mého zájmu.

Na druhou stranu, já jsem ten poslední, kdo by Vám chtěl škodit. A pokud chcete být uchráněn (Váš VPS) před světem a současně ušetřit za náklady
spojené s veřejnou IPv4 adresou, je zavedení reverzní Http Proxy pro Vás to nejlepší a nejbezpečnější. Samozřejmě se předpokládá, že na takovém VPS současně neprovozujete třeba poštovní server, který funguje i vně VPS.

Bát se admina hraničí s paranojou :-)

J.M.
JaZ

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od JaZ »

Podobná technika se používá pro snížení rizika napadení aplikačního serveru zvenčí. Celá aplikace se rozsekne na tři kusy - databáze, aplikace a transparentní proxy. V případě, že útočník kompromituje jednu vrstvu, zjistí, že tam "něco" chybí a dál nemůže - útok je zmařen.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od mobilemanic »

A existuje nějaké řešení, jak v takovém případě mít v logu apache reálné IP adresy klientů místo interní IP té proxy? Bohužel v takovém případě přijdu téměř o všechny statistiky návštěvnosti, které bych extrahoval z apache.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Provozujte svůj web na 4smart.cz s neveřejnou IPv4 adres

Příspěvek od 4smart.cz »

mobilemanic píše:A existuje nějaké řešení, jak v takovém případě mít v logu apache reálné IP adresy klientů místo interní IP té proxy? Bohužel v takovém případě přijdu téměř o všechny statistiky návštěvnosti, které bych extrahoval z apache.
Dobrý den,
nikoliv. V logu budete mít pouze neveřejné IPv4 adresy. Pokud však hostujete více různých projektů pod různými doménami, můžete si alespoň oddělit logování pro každou z nich.
Také bychom Vám teoreticky mohly vyparserovat z logu proxy serveru všechny přístupy. Zatím ale takovou implementaci nemáme. Pro Vás je tedy zatím jedinou cestou použití veřejné IPv4 adresy.
Zamčeno