subject:"Re\: Чтение метки DoD Security Option \(RFC1108\)"

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Archy

Исходящие запросы помечаются не нами, это мандатные метки, добавляемые ОС
AstraLinux SE, совместимости с которой мы добиваемся. Так что этот механизм
мы поменять к сожалению не можем, только на сервере каким-то образом до
nginx или в самом nginx эти метки перевести в http-заголовки или переменные
окружения.


Evgeniy Berdnikov Wrote:
---
> On Mon, Mar 20, 2017 at 04:18:59AM -0400, Archy wrote:
> > Может быть есть возможность просто чтения сырых tcp-пакетов запроса?
> 
>  В nginx? Конечно же нет. Вообще, tcp это абстракция потока данных
>  (stream), приложение tcp не видит никаких пакетов. Передавать на этот
>  уровень информацию по отдельным пакетам было бы довольно странно.
> Если
>  возникло такое желание, самое время попробовать переосмыслить задачу.
>  Добавить заголовок в http запрос (сквидом, например) мне лично
> кажется
>  намного проще и легче, нежели добавлять метки к исходящим ip-пакетам.
> -- 
>  Eugene Berdnikov
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,273014,273039#msg-273039

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Evgeniy Berdnikov

On Mon, Mar 20, 2017 at 04:18:59AM -0400, Archy wrote:
> Может быть есть возможность просто чтения сырых tcp-пакетов запроса?

 В nginx? Конечно же нет. Вообще, tcp это абстракция потока данных
 (stream), приложение tcp не видит никаких пакетов. Передавать на этот
 уровень информацию по отдельным пакетам было бы довольно странно. Если
 возникло такое желание, самое время попробовать переосмыслить задачу.
 Добавить заголовок в http запрос (сквидом, например) мне лично кажется
 намного проще и легче, нежели добавлять метки к исходящим ip-пакетам.
-- 
 Eugene Berdnikov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Archy

Спасибо, ответил вышел по поводу необходимости реализации в nginx, в
принципе можно перед ним поставить сервис, но не хотелось велосипедить,
вдруг что-то подобное уже есть в коробке.


Maxim Konovalov Wrote:
---
> On 3/17/17 8:35 PM, Archy wrote:
> > Здравствуйте!
> > 
> > Стоит задача передачи в приложение меток, передаваемых с клиента в
> поле
> > опций IPv4 пакета. Метки добавляются по RFC1108 типа
> > IPOPT_SEC,5,0xAB,03,12
> > 
> > Подскажите, куда копать, можно ли сделать на основе существующих
> модулей
> > разбор пакета или можно/нужно писать свой модуль? Или может быть
> даже такая
> > возможность есть в ядре, а я банально не вижу?
> >
> Модуль в ядро + getsockopt в nginx. Ну, если вам в самом деле это
> надо делать в веб-сервере.
> 
> -- 
> Maxim Konovalov
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,273014,273037#msg-273037

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Archy

Метка приходит с запросом браузера с клиента, при этом на сервере приложение
на php. Между php и клиентом стоит NginX потому на него основной взгляд.
Имеет смысл какую-то прослойку на 80й порт делать, типа haproxy, а NginX
ставить неё?

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,273014,273036#msg-273036

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Maxim Konovalov

On 3/17/17 8:35 PM, Archy wrote:
> Здравствуйте!
> 
> Стоит задача передачи в приложение меток, передаваемых с клиента в поле
> опций IPv4 пакета. Метки добавляются по RFC1108 типа
> IPOPT_SEC,5,0xAB,03,12
> 
> Подскажите, куда копать, можно ли сделать на основе существующих модулей
> разбор пакета или можно/нужно писать свой модуль? Или может быть даже такая
> возможность есть в ядре, а я банально не вижу?
>
Модуль в ядро + getsockopt в nginx. Ну, если вам в самом деле это
надо делать в веб-сервере.

-- 
Maxim Konovalov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Vadim A. Misbakh-Soloviov

Почему вы вообще решили это делать на NginX, а не на... Да на чём угодно, что 
более узкоспецифично, чем веб-сервер :)
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

2017-03-20 Пенетрантность Archy

Может быть есть возможность просто чтения сырых tcp-пакетов запроса?

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,273014,273033#msg-273033

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

Re: Чтение метки DoD Security Option (RFC1108)

7 matches

Site Navigation

Mail list logo

Footer information