У нас возникают проблемы с публикацией сервера VisualSVN на базе Windows через Appache mod_proxy.
Политика информационной безопасности компании не позволяет инициировать SSL-соединения из внешних сетей и входить в сеть компании незавершенным. Чтобы позволить SSL-соединениям инициироваться внешними сторонами, они используют Apache mod_proxy, который принимает SSL-соединение, преобразует его в другой протокол, такой как HTTP, а затем перенаправляет его на соответствующий внутренний ресурс. Эта служба работает как прокси-сервер для всех опубликованных извне ресурсов, поэтому она весьма чувствительна как с точки зрения безопасности, так и с точки зрения доступности. Что мы видим с точки зрения нашей команды, так это то, что наша инфраструктура для публикации этого сервиса работает на 100%. Мы можем имитировать внешние соединения, поступающие на сервер, и все данные возвращаются и функционируют должным образом с помощью Internet Explorer или инструментов просмотра репозиториев, таких как TortoiseSVN.
Проблема, похоже, в упомянутом ранее mod_proxy; управляется сетевой командой. Простые HTTP-соединения с сервером SVN работают великолепно. Однако, как только мы пытаемся использовать инструменты, требующие расширения протокола HTTP (например, TortoiseSVN), все выходит из строя. WireShark показывает, что используется протокол HTTP / XML и что запросы ресурсов вообще не попадают на сервер VisualSVN.
Кто-нибудь знает, нужны ли специальные параметры конфигурации, чтобы mod_proxy работал с инструментами WebDAV, такими как TortoiseSVN?
Вот что происходит при просмотре через IE:
SSL Connetctopn инициирован на клиенте ---> mod_proxy - преобразует запрос на порт 80 -> ISA Server 2006 -> VisualSVN Возвращает веб-страницу
Работает как шарм.
Вот что мы видим, когда пытаемся просматривать с помощью Tortoise:
SSL-соединение инициировано на клиенте ---> mod_proxy на ISA Server не отправляются пакеты
WebDAV использует ряд HTTP-методов, которые выходят за рамки того, что вы видите в обычном веб-трафике, но не используются вашим соединением IE. Моя догадка? Некоторые или все эти методы заблокированы на прокси-сервере.
Какой ответ будет отправлен обратно в Tortoise (должен отображаться в сообщении об ошибке, а также какой именно метод не удалось; возможно, PROPFIND
)? Мои деньги на 403.
Между прочим, скажите тому, кто придумал эту политику, что расшифровка всех сессий изнутри делает это неправильно; если им нужно очень плохо отслеживать трафик открытого текста, они могут предоставить устройству мониторинга копию соответствующих закрытых ключей, не нарушая целостность соединения. Злоумышленники не приходят извне.