Dividir el acceso por puertos en WebServer

Artículo

Kurro Lopez · 13 feb, 2024 Lectura de 2 min

Recientemente, necesitaba ejecutar WebGateway en un puerto adicional, pero con una novedad: este puerto debería publicar solo una aplicación web.
Al principio, pensé en configurar WebGateway para permitir solo aplicaciones web específicas (~urls), pero la configuración de WebGateway depende de la configuración de Apache:

LoadModule csp_module_sa "/opt/webgateway/bin/CSPa24.so"
CSPModulePath "/opt/webgateway/bin/"
CSPConfigPath "/opt/webgateway/bin/"ObjectScript
ObjectScript

Y aunque LoadModule tiene dos contextos permitidos, configuración del servidor y host virtual, el módulo csp debe cargarse una vez en el contexto del servidor.

Pero podemos usar dos VirtualHosts y así es como se hace:

CSPModulePath /iris/csp/bin/
CSPConfigPath /iris/csp/bin/
LoadModule csp_module_sa /iris/csp/bin/CSPa24.so

Listen 443
Listen 10443
<VirtualHost *:443>
  <Location />
    CSP On
  </Location>
</VirtualHost>

<VirtualHost *:10443>
  <Location /myapp/>
    CSP On
  </Location>
</VirtualHost>ObjectScript
ObjectScript

Full httpd.conf

ServerRoot "/iris/httpd"
DocumentRoot "/iris/csp"
CSPModulePath /iris/csp/bin/
CSPConfigPath /iris/csp/bin/
LoadModule csp_module_sa /iris/csp/bin/CSPa24.so
User irisusr
Group irisusr

ServerName localhost
PidFile /iris/httpd/logs/httpd.pid
TraceEnable off
Timeout 300
KeepAlive On
MaxKeepAliveRequests 0
KeepAliveTimeout 120
UseCanonicalName Off

<Directory />
Options MultiViews FollowSymLinks
AllowOverride None
Require all granted
<FilesMatch "\.(log|ini|pid|exe|so)$">
Require all denied
</FilesMatch>
</Directory>

TypesConfig conf/mime.types
HostnameLookups Off

ErrorLog /iris/httpd/logs/error.log
LogLevel error
LogFormat "%h %l %u %t \"%r\" %>s %b" common

StartServers 5
MinSpareThreads 2
MaxSpareThreads 20
ServerLimit 256
ServerTokens Prod

Include conf/httpd-doc.conf
Include conf/httpd-local.conf
Listen 443
Listen 10443
<VirtualHost *:443>

# We need a servername, it has not effect but is required by apache
ServerName mysecureinstance

# Turn on SSL for this Virtual Host
SSLEngine on
SSLCertificateFile "/etc/certs/apache.crt"
SSLCertificateKeyFile "/etc/certs/apache.key"
<Location />
CSP On
</Location>
</VirtualHost>
<VirtualHost *:10443>

# We need a servername, it has not effect but is required by apache
ServerName mysecureinstance

# Turn on SSL for this Virtual Host
SSLEngine on
SSLCertificateFile "/etc/certs/apache.crt"
SSLCertificateKeyFile "/etc/certs/apache.key"
<Location /myapp/>
CSP On
</Location>
</VirtualHost>ObjectScript
ObjectScript

Los hosts virtuales usan el mismo WebGateway y la misma configuración de CSP, pero solo las URL /myapp/ están disponibles en el puerto 10443. Todo lo demás obtiene 404 de Apache.

Ir a la publicación original, escrita por @Eduard Lebedyuk