Назад | Перейти на главную страницу

Публикация VisualSVN через Apache mod_proxy

У нас возникают проблемы с публикацией сервера VisualSVN на базе Windows через Appache mod_proxy.

Политика информационной безопасности компании не позволяет инициировать SSL-соединения из внешних сетей и входить в сеть компании незавершенным. Чтобы позволить SSL-соединениям инициироваться внешними сторонами, они используют Apache mod_proxy, который принимает SSL-соединение, преобразует его в другой протокол, такой как HTTP, а затем перенаправляет его на соответствующий внутренний ресурс. Эта служба работает как прокси-сервер для всех опубликованных извне ресурсов, поэтому она весьма чувствительна как с точки зрения безопасности, так и с точки зрения доступности. Что мы видим с точки зрения нашей команды, так это то, что наша инфраструктура для публикации этого сервиса работает на 100%. Мы можем имитировать внешние соединения, поступающие на сервер, и все данные возвращаются и функционируют должным образом с помощью Internet Explorer или инструментов просмотра репозиториев, таких как TortoiseSVN.

Проблема, похоже, в упомянутом ранее mod_proxy; управляется сетевой командой. Простые HTTP-соединения с сервером SVN работают великолепно. Однако, как только мы пытаемся использовать инструменты, требующие расширения протокола HTTP (например, TortoiseSVN), все выходит из строя. WireShark показывает, что используется протокол HTTP / XML и что запросы ресурсов вообще не попадают на сервер VisualSVN.

Кто-нибудь знает, нужны ли специальные параметры конфигурации, чтобы mod_proxy работал с инструментами WebDAV, такими как TortoiseSVN?

Вот что происходит при просмотре через IE:

SSL Connetctopn инициирован на клиенте ---> mod_proxy - преобразует запрос на порт 80 -> ISA Server 2006 -> VisualSVN Возвращает веб-страницу

Работает как шарм.

Вот что мы видим, когда пытаемся просматривать с помощью Tortoise:

SSL-соединение инициировано на клиенте ---> mod_proxy на ISA Server не отправляются пакеты

WebDAV использует ряд HTTP-методов, которые выходят за рамки того, что вы видите в обычном веб-трафике, но не используются вашим соединением IE. Моя догадка? Некоторые или все эти методы заблокированы на прокси-сервере.

Какой ответ будет отправлен обратно в Tortoise (должен отображаться в сообщении об ошибке, а также какой именно метод не удалось; возможно, PROPFIND)? Мои деньги на 403.

Между прочим, скажите тому, кто придумал эту политику, что расшифровка всех сессий изнутри делает это неправильно; если им нужно очень плохо отслеживать трафик открытого текста, они могут предоставить устройству мониторинга копию соответствующих закрытых ключей, не нарушая целостность соединения. Злоумышленники не приходят извне.