Jakub Jelínek oznámil vydání verze 15.1 (15.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 15. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.
Byly vyhlášeny výsledky letošní volby vedoucího projektu Debian (DPL, Wikipedie). Staronovým vedoucím zůstává Andreas Tille.
Jason Citron končí jako CEO Discordu. Od pondělí 28. dubna nastupuje nový CEO Humam Sakhnini, bývalý CSO Activision Blizzard.
Článek na Libre Arts představuje baskytarový multiefekt Anagram od společnosti Darkglass Electronics. S Linuxem uvnitř (licence, GitHub).
Městský soud v Praze vyhlásil rozsudek, který vyhověl žalobě novináře Jana Cibulky, který s podporou spolku IuRe (Iuridicum Remedium) požadoval omluvu od státu za to, že česká legislativa nařizuje operátorům uchovávat metadata o elektronické komunikaci. To je přitom v rozporu s právem. Stát se musí novináři omluvit a zaplatit náklady řízení. Především je ale součástí přelomové rozhodnutí o nelegálnosti shromažďování dat a o
… více »Americké technologické firmy Apple a Meta Platforms porušily pravidla na ochranu unijního trhu, uvedla včera Evropská komise (EK). Firmám proto vyměřila pokutu – Applu 500 milionů eur (12,5 miliardy Kč) a Metě 200 milionů eur (pět miliard Kč). Komise to oznámila v tiskové zprávě. Jde o první pokuty, které souvisejí s unijním nařízením o digitálních trzích (DMA). „Evropská komise zjistila, že Apple porušil povinnost vyplývající z nařízení
… více »Americká společnost OpenAI, která stojí za chatovacím robotem ChatGPT, by měla zájem o webový prohlížeč Chrome, pokud by jeho současný majitel, společnost Google, byl donucen ho prodat. Při slyšení u antimonopolního soudu ve Washingtonu to řekl šéf produktové divize ChatGPT Nick Turley.
Po roce vývoje od vydání verze 1.26.0 byla vydána nová stabilní verze 1.28.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.28.
Byla vydána nová verze 10.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 211 vývojářů. Provedeno bylo více než 2 800 commitů. Přehled úprav a nových vlastností v seznamu změn.
42 svobodných a otevřených projektů získalo finanční podporu od NLnet Foundation (Wikipedie).
Řešení dotazu:
19.3.2018 06:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Když zadám požadavek do prohlizece a nez se to dostane na pozadovany stroj tak to projde pres desitky stroju a taky na kazdem neni nainstalovany pozadovany certifikat.Jenže ty stroje, přes které to prochází, se nazývají routery, a operují na L3. Proxy operuje na L7. A k řešení dotazu: záleží, jestli ti stačí spojení přepojit na správný stroj, pak proxy dešifrování provádět nebude a jenom se koukne na SNI hlavičku, nebo chceš dělat něco složitějšího, pak je potřeba TLS spojení terminovat na proxy (a pokud je síť za ní důvěryhodná, tak se naopak neprovozuje TLS na koncovém webserveru).
záleží, jestli ti stačí spojení přepojit na správný strojAno, myslim, ze to by mi stacilo a certifikat bych nainstaloval jen na cilovem stroji. Poradis jak toho docílit?
19.3.2018 07:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
19.3.2018 16:24
Jendа | skóre: 78
| blog: Jenda
| JO70FB
PS: a pres proxy muzu prohnat i port 22?Ne, SSH neposílá žádné informace, kvůli kterým by dávalo použití proxy smysl.
19.3.2018 16:25
Jendа | skóre: 78
| blog: Jenda
| JO70FB
PS: a pres proxy muzu prohnat i port 22?(jak by sis představoval že bude vypadat výsledek/čeho tím chceš dosáhnout?)
PS: a pres proxy muzu prohnat i port 22?Áno, môžeš. Ale nie som si istý či naozaj chceš ssh over http proxy a nie klasický PAT.
19.3.2018 21:22
Josef Kufner | skóre: 70
PS: a pres proxy muzu prohnat i port 22?SSH a HTTPS si spolu nerozumí, ale existuje například sslh, které podle začátku protokolu detekuje, co to je zač a pošle to odpovídající službě na jiný port. Nevýhoda je, že cílová služba nevidí vzdálenou IP adresu, což u může vadit (logy, zabezpečení).
19.3.2018 08:59
MMMMMMMMM | skóre: 44
| blog: unstable
| Valašsko :-)
Když bude certifikát na tom proxy serveru, je to HTTP/HTTPS reverzní proxy.
Když má být až na cílovém serveru, je to TCP proxyuvedl jsi tedy dvě možnosti
TCP proxy proxy funguje tak, že TCP spojení je zakončené na proxy serverua teď z té druhé možnosti děláš zase tu první, tak jak to tedy je? ;)
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
server {
listen 443;
server_name www.domena1.net;
location / {
proxy_pass https://192.168.1.101;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
client_max_body_size 8m;
client_body_buffer_size 128k;
}
}
server {
listen 443;
server_name www.domena2.net;
location / {
proxy_pass https://192.168.1.102;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
client_max_body_size 8m;
client_body_buffer_size 128k;
}
}
listen 443 by muselo být ssl a musela by tam být konfigurace certifikátů, případně další konfigurace SSL:
server {
listen 443 ssl;
server_name www.domena1.net;
ssl_certificate www.domena1.net.crt;
ssl_certificate_key www.domena1.net.key;
…
}
Vy asi chcete TCP proxy, tj. SSL zakončené až na cílovém serveru. Pak moc nevidím důvod mít tam v roli TCP proxy HTTP(S) server, protože dovnitř SSL spojení neuvidí, jenom si z SNI na začátku spojení přečte, kam má to spojení předat. Ale nginx umí i tohle, příklad konfigurace je v Module ngx_stream_ssl_preread_module. Ale já jsem nginx jako TCP proxy nikdy nepoužíval, takže víc než tenhle odkaz a odkaz na dokumentaci TCP/UDP proxy nginxu vám asi neporadím.
Vy asi chcete SSL zakončené až na cílovém serveru.Ano
Pak moc nevidím důvod mít tam v roli TCP proxy HTTP(S) server, protože dovnitř SSL spojení neuvidí, jenom si z SNI na začátku spojení přečte, kam má to spojení předat.Tak pokud není důvod mít tam v roli TCP proxy HTTP(S) server, tak jak to udělat? A co třeba spustit nějaký DNS server, ten by neuměl podle názvu domény poslat všechny požadavky https a https na příslušnou vnitřní IP adresu?
6.4.2018 09:25
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
tak je to na "závažné porušení Zákoníku práce", už vzhledem k GDPR.GDPR nemá se zákoníkem práce nic společného, týká se ochrany osobních údajů. A je účinné až od 25. května 2018.
6.4.2018 14:45
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
6.4.2018 17:05
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Když si tam uděláte nějakou vlastní cestu mimo oficiální kanály, asi vás nebudou mít rádi.Tak že použití proxy serveru se jedná o neoficiální kanál?
8.4.2018 17:35
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
9.4.2018 23:53
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Tak pokud není důvod mít tam v roli TCP proxy HTTP(S) server, tak jak to udělat?Stačilo by použít nějaký TCP proxy server, který umí směrovat podle SNI. Ale pokud tam chcete přesměrovávat i HTTP, stejně tam potřebujete použít HTTP proxy server, takže pak je nginx dobrá volba.
A co třeba spustit nějaký DNS server, ten by neuměl podle názvu domény poslat všechny požadavky https a https na příslušnou vnitřní IP adresu?DNS žádné HTTP a HTTPS požadavky nikam neposílá. DNS jenom přeloží název na IP adresu. Nejlepší by bylo, kdybyste napsal, jaký problém řešíte. Takhle se jen pokoušíme trefit do nějaké vaší představy o řešení.
Nejlepší by bylo, kdybyste napsal, jaký problém řešíte. Takhle se jen pokoušíme trefit do nějaké vaší představy o řešení.Řeším stále ten stejný problém. Mám nainstalovaný na serveru proxmox a v něm několik virtuální serverů (VM-100, VM-101, VM-102 atd..) a každou doménu chci nasměrovat na samostatný virtuální server tak, aby se vyžadovaly SSL certifikáty až na cílových virtuálních strojích a taky aby byly v každém log ip adresa uživatele který přišel na stránky, ne ip adresa proxy serveru. To je všechno.
6.4.2018 17:15
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
6.4.2018 17:16
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
kolik funkčních IP adres na interfejsech má samotný proxmox?Všechny domény jsou nasměrovány na jedinou IP adresu.
Jakou bránu (gateway) mají ty virtuály?IP adresu přiděluje DHCP server podle MAC adresy toho virtuálu (Address Reservation)
Přes co všechno chodí provoz do toho proxmoxu?Nerozumím otázce
Mají ty virtuály něco společného nebo jsou navzájem nezávislé?Co například můžou mít společné?
Maj ty domény něco společného, každá jedna jednotlivěCo například můžou mít společné?
Kdybych měl na hypervizoru bridge a ve virtuálu web sevrery, tak můžu pustit provoz přímo. Takže proč Vám tohle nevyhovuje?A "kdo/co" by se v takovém případě staralo o to na jaky server poslat požadovanou doménu?
8.4.2018 17:36
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Port 80 proxy_set_header X-Forwarded-Proto httpA tohle pro HTTPS server:
proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Port 443 proxy_set_header X-Forwarded-Proto httpsNginx tak předá informace o původním spojení (IP adresa klienta, port, protokol, požadované hostname) do HTTP hlaviček, odkud si je cílový server převezme. Cílový server k tomu musí být nakonfigurován, aby ty hlavičky neakceptoval od každého klienta, ale jenom od konkrétního proxy serveru. Např. Apache pro to má mod_remoteip, Nginx má modul ngx_http_realip_module.
RemoteIPHeader X-Real-IP RemoteIPInternalProxy X.X.X.Xkde za X.X.X.X dosadíte IP adresu toho nginx serveru tak, jak ji vidí Apache.
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /example.com.pem;
ssl_certificate_key /example.com.key.pem;
location / {
proxy_pass http://192.168.0.101;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Port 80;
proxy_set_header X-Forwarded-Proto https;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
client_max_body_size 8m;
client_body_buffer_size 128k;
}
}
Nastavení Apache
<VirtualHost *:80>
ServerName example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
RemoteIPHeader X-Real-IP
RemoteIPInternalProxy 192.168.0.99
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Modul remoteip jsem povolil
a2enmod remoteipApache jsem restartoval
systemctl restart apache2Soubor access.log
192.168.0.99 - - [08/Apr/2018:01:27:06 +0200] "GET / HTTP/1.0" 200 260 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" 192.168.0.99 - - [08/Apr/2018:01:27:14 +0200] "GET / HTTP/1.0" 200 262 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" 192.168.0.99 - - [08/Apr/2018:01:29:05 +0200] "GET / HTTP/1.0" 304 142 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"
combined formát logu, aby se místo hostname logovala hlavička X-Real-IP:
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
ale tohle ano
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" warn
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" info
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" notice
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" debug
Mám tedy nechat něco jiného než combined?
BTW: a to co tady psal uživatel vencour o GDPR, můžu takovou konfiguraci ve finále legálně používat nebo ne? Nerad bych se dostal do nějakých problémů.
8.4.2018 17:40
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Kazda domena z tech x koncovych stroju ma svuj vlastni certifikat?Ano
Na proxy urcis jenom cestu a ssl ukoncis na koncovych strojich.Tuto variantu bych chtěl ale nevím jak.
Nebo to udelas tak ze ssl ukoncis na proxy a pak posilas na koncove stroje nesifrovany trafic.Takto to nechci
V cem je problem? Napsat konfiguraci?Ano, napsat konfiguraci
Pouzivas httpd nebo neco jineho?Na tuto otázku nedokážu přesně odpovědět jelikož ji nerozumím:(
19.3.2018 23:59
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Co přesně má být výsledkem?Potřebuji aby proxy přesměrovalo https (podle nazvu domény) na danou IP adresu, ale bez toho, abych nemusel ssl certifikáty řešit v tom proxy ale až na cílovém stroji. Něco takového ale nefunguje to.
server {
listen 443;
server_name www.domena1.net;
location / {
proxy_pass https://192.168.1.101;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
client_max_body_size 8m;
client_body_buffer_size 128k;
}
}
server {
listen 443;
server_name www.domena2.net;
location / {
proxy_pass https://192.168.1.102;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
client_max_body_size 8m;
client_body_buffer_size 128k;
}
}
20.3.2018 00:52
Josef Kufner | skóre: 70
20.3.2018 00:54
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
<VirtualHost *:443> ServerName www.domena1.net SSLProxyEngine On SSLProxyCheckPeerCN on SSLProxyCheckPeerExpire on ProxyPass / https://192.168.0.101 ProxyPassReverse / https://192.168.0.101 </VirtualHost> <VirtualHost *:443> ServerName www.domena2.net SSLProxyEngine On SSLProxyCheckPeerCN on SSLProxyCheckPeerExpire on ProxyPass / https://192.168.0.102 ProxyPassReverse / https://192.168.0.102 </VirtualHost>Ale Apache nejde restartovat, journalctl -xe vypíše
-- Unit apache2.service has failed. -- -- The result is failed. Mar 20 01:36:09 100 systemd[1]: apache2.service: Unit entered failed state. Mar 20 01:36:09 100 systemd[1]: apache2.service: Failed with result 'exit-code'. Mar 20 01:38:17 100 systemd[1]: Starting The Apache HTTP Server... -- Subject: Unit apache2.service has begun start-up -- Defined-By: systemd -- Support: https://www.debian.org/support -- -- Unit apache2.service has begun starting up. Mar 20 01:38:18 100 apachectl[1683]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 0.0.0.100. Set the 'ServerName' directive global Mar 20 01:38:18 100 apachectl[1683]: (98)Address already in use: AH00072: make_sock: could not bind to address [::]:443 Mar 20 01:38:18 100 apachectl[1683]: (98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443 Mar 20 01:38:18 100 apachectl[1683]: no listening sockets available, shutting down Mar 20 01:38:18 100 apachectl[1683]: AH00015: Unable to open logs Mar 20 01:38:18 100 apachectl[1683]: Action 'start' failed. Mar 20 01:38:18 100 apachectl[1683]: The Apache error log may have more information. Mar 20 01:38:18 100 systemd[1]: apache2.service: Control process exited, code=exited status=1 Mar 20 01:38:18 100 systemd[1]: Failed to start The Apache HTTP Server. -- Subject: Unit apache2.service has failed -- Defined-By: systemd -- Support: https://www.debian.org/support -- -- Unit apache2.service has failed. -- -- The result is failed. Mar 20 01:38:18 100 systemd[1]: apache2.service: Unit entered failed state. Mar 20 01:38:18 100 systemd[1]: apache2.service: Failed with result 'exit-code'.Co je prosím špatně? Díky
20.3.2018 07:31
houska | skóre: 41
| blog: HW
Mar 20 01:38:18 100 apachectl[1683]: (98)Address already in use: AH00072: make_sock: could not bind to address [::]:443Nemuze se pripojit na port 443 - uz na nem nejspis neco posloucha.
Mar 20 01:38:18 100 apachectl[1683]: (98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443
Tiskni
Sdílej:
