Proxy přístup na internetové repozitáře

Proxy přístup na internetové repozitáře
« kdy: 03. 12. 2020, 19:18:30 »
Mam u zakaznika nekolik Centos8 serveru bez pristupu k internetu a potreboval bych na nich mit pristup na internetove repozitare, klasika Centos, EPEL, Postgres apod.

Na jednom ze stroju muzu dostat internet, potrebuju nejake reseni, aby na repa mohly i ostatni stroje.

Zkousel jsem nasadit squid v noncaching modu, na http se curlem proxovane dostanu, https aniprt.

Resil jste nekdo podobny problem?
Jak rozjet https na sqid explicit https proxy, popr jestli neexistuje nejake uplne jine reseni, jak se dostat na repa.
« Poslední změna: 03. 12. 2020, 19:35:29 od Petr Krčmář »


Re:Proxy přístup na internetové repozitáře
« Odpověď #1 kdy: 03. 12. 2020, 19:55:10 »
A co použít na stroji co může na net https://linux.die.net/man/1/reposync a na ostatních zakázat standardní zdroje pro aktualizace a přidat tam ten svůj server?

jvb

Re:Proxy přístup na internetové repozitáře
« Odpověď #2 kdy: 03. 12. 2020, 20:56:49 »
https://man7.org/linux/man-pages/man5/dnf.conf.5.html
Kód: [Vybrat]
proxy
proxy_username
proxy_password

atd.

Muzes vyexportovat i do prostredi promenne jako


Kód: [Vybrat]
export HTTPS_PROXY=http://xx/
export HTTP_PROXY=http://xxx/
export NO_PROXY=localhost,127.0.0.1,localaddress,1.2.3.4

« Poslední změna: 03. 12. 2020, 21:02:13 od jvb »

Re:Proxy přístup na internetové repozitáře
« Odpověď #3 kdy: 03. 12. 2020, 21:14:26 »
No, pokud je na serverech vypnutý přístup na internet, většinou to má dobrý důvod a naopak není důvod to porušovat.
Přístup do repozitářů a vývojové nástroje bych na server nedával.

Obvykle se projekt sestaví a teprve výsledek se deployuje na server. Na to stačí push přes SFTP, SCP atp.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Proxy přístup na internetové repozitáře
« Odpověď #4 kdy: 03. 12. 2020, 21:28:14 »
1) Repozitáře jsou snad podepsané, takže lokálně a vlastně i po netu je HTTP v pohodě, ne?

2) Druhé řešení, které bych zvolil, je vykašlat se na proxy v té síti, a repozitáře si tam natáhout SSH tunelem. Přihlásit se tam se
Kód: [Vybrat]
ssh -R 8888:repozitář:80 -R 8889:repozitář:80 a v seznamu repozitářů pak jako repozitář nastavit http://localhost:8888.


Re:Proxy přístup na internetové repozitáře
« Odpověď #5 kdy: 03. 12. 2020, 21:29:10 »
No, pokud je na serverech vypnutý přístup na internet, většinou to má dobrý důvod a naopak není důvod to porušovat.
Přístup do repozitářů a vývojové nástroje bych na server nedával.

Obvykle se projekt sestaví a teprve výsledek se deployuje na server. Na to stačí push přes SFTP, SCP atp.

Normalni reseni je, ze ve firme maji svoje privatni repa managovane pres satellite6.
Nechat servery shnit bez security updatu je sice zajimava metoda, ale snazim se ji vyhnout.
V one firme nemaji privatni repa a ja se na nejake potrebuju dostat.
Kdyz primo dnf podporuje praci s HTTPS proxy, predpokladam, ze to nejak jit musi.
Squid instalace podle webovych tutorialu mi pro https neseje (zrejme.HSTS), tinyproxy to pro jistotu nepodporuje vubec, dal jsem nezkoumal.


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Proxy přístup na internetové repozitáře
« Odpověď #6 kdy: 03. 12. 2020, 21:30:35 »
Jinak já pro veškeré user-space port forwardy používám socat (což asi neumí předávat HTTP Host hlavičku, ale to vyřešíš nastavením v /etc/hosts, aby si klient myslel, že se jako opravdu baví s repozitářem -- a pak by mohlo fungovat i to HTTPS). socat TCP4-LISTEN:5443,reuseaddr,fork "TCP4:repozitář:443"

Re:Proxy přístup na internetové repozitáře
« Odpověď #7 kdy: 03. 12. 2020, 21:37:17 »
1) Repozitáře jsou snad podepsané, takže lokálně a vlastně i po netu je HTTP v pohodě, ne?

2) Druhé řešení, které bych zvolil, je vykašlat se na proxy v té síti, a repozitáře si tam natáhout SSH tunelem. Přihlásit se tam se
Kód: [Vybrat]
ssh -R 8888:repozitář:80 -R 8889:repozitář:80 a v seznamu repozitářů pak jako repozitář nastavit http://localhost:8888.

Pekna myslenka, kdyz nepujde nic lepsiho.
Ty servery chci managovat ansiblem za pouziti standardnich roli z ansible galaxy a ty si repa dokonce samy pridavaji, napr zabbix repo. To tech ansible roli se mi hrabat nechce, aby to sestavovalo tunel na pocatku kazdeho playbooku.
Pokud by jela https proxyna, prijde mi to systemove cistsi.

A hlavne jsem kdesi videl, ze proxivane repa jely pres https proxynu nacerno udelanou jakymsi sharevare udelatkem na W10.
Nejak ti prece musi jit.

jvb

Re:Proxy přístup na internetové repozitáře
« Odpověď #8 kdy: 03. 12. 2020, 22:05:59 »
No, pokud je na serverech vypnutý přístup na internet, většinou to má dobrý důvod a naopak není důvod to porušovat.
Přístup do repozitářů a vývojové nástroje bych na server nedával.

Obvykle se projekt sestaví a teprve výsledek se deployuje na server. Na to stačí push přes SFTP, SCP atp.

Normalni reseni je, ze ve firme maji svoje privatni repa managovane pres satellite6.
Nechat servery shnit bez security updatu je sice zajimava metoda, ale snazim se ji vyhnout.
V one firme nemaji privatni repa a ja se na nejake potrebuju dostat.
Kdyz primo dnf podporuje praci s HTTPS proxy, predpokladam, ze to nejak jit musi.
Squid instalace podle webovych tutorialu mi pro https neseje (zrejme.HSTS), tinyproxy to pro jistotu nepodporuje vubec, dal jsem nezkoumal.

Tak pouzij socks5 proxy.

Re:Proxy přístup na internetové repozitáře
« Odpověď #9 kdy: 04. 12. 2020, 07:01:26 »
Tak pouzij socks5 proxy.

Proboha proč? To už je díra jak vrata.
Podle mě se dá nasazování na server udělat bez toho, aby na serveru vůbec byl nainstalovaný git a další nástroje a přístup ven na internet.

Podle mě je škoda, když si někdo dal práci, aby to odizoloval, to ničit.

jvb

Re:Proxy přístup na internetové repozitáře
« Odpověď #10 kdy: 04. 12. 2020, 11:01:45 »
Tak pouzij socks5 proxy.

Proboha proč? To už je díra jak vrata.
Podle mě se dá nasazování na server udělat bez toho, aby na serveru vůbec byl nainstalovaný git a další nástroje a přístup ven na internet.

Podle mě je škoda, když si někdo dal práci, aby to odizoloval, to ničit.

Já, na rozdíl od tebe, reaguju na požadavky OP a automaticky nepředpokládám, že je úplný debil, jako ty. Ty sem jen zanášíš svoje teorie, které nevychází vůbec z faktů, které jsou v OP.

Týpek se trápil se squid proxy, napsal jsem mu jak ji nastavit pro dnf, pripadne do promenne v systemu. Squid asi vzdal, tak jsem mu navrhl použít socks5 proxy, kterou udělá jedním ssh příkazem. Jestli to je dobře, to nechávám na něm a jeho zákazníkovi, nevidím důvod, proč jim do toho kecat - navíc bez dostatečných informací.

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Proxy přístup na internetové repozitáře
« Odpověď #11 kdy: 04. 12. 2020, 14:19:53 »
Nejjednodušší je asi SOCKS pomocí SSH. V systému je pak možno nastavit proxy pro celý OS (to může vadit, jestli nechcete, aby počítače lezly do inetu), nebo jen pro balíčkovací systém.
Další možností je aktualizace Centosů přes vlastní cache uvnitř sítě. Apt-cacher-ng https://www.unix-ag.uni-kl.de/~bloch/acng/ by měl zvládat i CentOS. Výhodou je snížení provozu ven ze sítě.

Re:Proxy přístup na internetové repozitáře
« Odpověď #12 kdy: 04. 12. 2020, 14:25:34 »
Nakonec jsem to vyresil pomoci tinyproxy.
Ted to jede jak po masle a jediny, co bylo potreba nastavit, byl IP rozsah stroju, co mohou k proxy pristupovat.

Squid mi pripada obecne nejaky cely zesraty, HTTPS jsem nerozjel vubec, HTTP se divne skubalo a bylo to pomale.

Diky vsem za hinty.