Firewall für Webapplikation

Alles, was den Apache betrifft, kann hier besprochen werden.

Firewall für Webapplikation

Postby tonabnehmer » 03. July 2009 11:51

Hallo,

ich möchte einen Apache als eine Art Firewall für eine dahinterliegende Webapplikation einsetzen. Dazu möchte ich eine Whitelist pflegen, in der z. B. steht:

/webapp/user.html
/webapp/*.gif

Nur diese Anfragen sollen überhaupt vom Apache zu der Webapplikation weitergeleitet werden. Alles andere nicht. Reguläre Ausdrücke wären super.

Mir reicht dieser einfache Ressourcen-Filter als Firewall. Eine Application-Level Firewall, die auch Inhalte von POST filtert, brauche ich nicht. Das übernimmt dann die Applikation selbst - wir wollen nur vorab ein wenig filtern.

Hat vielleicht jemand einen Lösungsansatz? Geht das irgendwie nur mit mod_proxy oder in Kombination mit mod_rewrite oder muss ich mich mit mod_security beschäften?

Herzlichen Dank,
tonabnehmer
tonabnehmer
 
Posts: 10
Joined: 27. April 2009 23:11

Re: Firewall für Webapplikation

Postby glitzi85 » 03. July 2009 18:18

Erscheint mir zwar total blödsinnig, aber ja, mit mod_security wäre das vermutlich möglich. Genau kann ich das aber nicht sagen, da ich mich mit mod_security nicht auskenne. Mit mod_proxy wäre das aber nicht zu machen (wobei du mod_proxy natürlich dennoch benötigst).

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Re: Firewall für Webapplikation

Postby tonabnehmer » 04. July 2009 10:06

Danke zunächst für die Antwort. Warum erscheint es Dir blödsinnig?

Grüße,
tonabnehmer
tonabnehmer
 
Posts: 10
Joined: 27. April 2009 23:11

Re: Firewall für Webapplikation

Postby Nobbie » 04. July 2009 11:28

tonabnehmer wrote:Warum erscheint es Dir blödsinnig?


Nicht nur ihm, ich verstehe es auch nicht.

Zum einen kennt Apache selbst massenhaft Rechteverwaltungen (mit <Location ...>, <File ...>, <Directory ...> usw. in Verbindung mit Allow, Deny usw. bzw. auch mit Authorizing geht alles), zum anderen verstehe ich auch nicht den Sinn, Apache als "Firewall"(wofür - Apache kennt ja nur das Protokoll HTTP und mühselig FTP) einzusetzen.

Ich bin mir relativ sicher, dass das, was Du eigentlich erreichen willst, auf andere Weise besser geht.
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Firewall für Webapplikation

Postby tonabnehmer » 08. July 2009 09:41

Ich schreibe mal ganz konkret was erreicht werden soll:

https://www.meinefirma.de/webapplikation beantwortet ein Apache Webserver. ProxyPass und ProxyPassReverse sorgen dafür, dass dieser Apache als Proxy für /webapplikation dient.

Jemand ruft auf: https://www.meinefirma.de/webapplikation/login.html. In der Whitelist steht login.html und wird daher über die Proxy-Regel zum Applikationsserver durchgereicht.

Jemand ruft auf: https://www.meinefirma.de/webapplikation/admin.html. In der Whitelist steht admin.html nicht drin. Also soll an dieser Stelle der Proxy nicht aktiv werden sondern z. B. die 403 Seite aufgerufen werden.

Meine konkrete Frage ist also: Wie kann ich nur die auf der Whitelist stehenden URLs per ProxyPass und ProxyPassReverse zum Applikationsserver weiterleiten?

Danke und Grüße,
tonabnehmer
tonabnehmer
 
Posts: 10
Joined: 27. April 2009 23:11

Re: Firewall für Webapplikation

Postby Nobbie » 08. July 2009 11:59

>Jemand ruft auf: https://www.meinefirma.de/webapplikation/admin.html. In der Whitelist steht admin.html nicht drin.

Das geht ganz einfach mit der <Location ..> Angabe oder auch mit <Files ...> (je nachdem, wo der Error generiert werden soll). Lies mal die Apache Doku durch:

http://httpd.apache.org/docs/2.2/mod/core.html#files
http://httpd.apache.org/docs/2.2/mod/core.html#location
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04


Return to Apache

Who is online

Users browsing this forum: No registered users and 13 guests