mod_proxy_connect Extension de mod_proxy pour le traitement des requêtes CONNECT Extension mod_proxy_connect.c proxy_connect_module

Pour fonctionner, ce module nécessite le chargement de mod_proxy. Il fournit le support de la méthode HTTP CONNECT. Cette méthode est principalement utilisée pour le franchissement des serveurs mandataires par les requêtes SSL à l'aide d'un tunnel.

Ainsi, pour pouvoir traiter les requêtes CONNECT, mod_proxy et mod_proxy_connect doivent être chargés dans le serveur.

CONNECT est aussi utilisée lorsque le serveur doit envoyer une requête HTTPS via un mandataire. Dans ce cas, le serveur se comporte comme un client CONNECT. Cette fonctionnalité étant fournie par le module mod_proxy, le module mod_proxy_connect n'est dans ce cas pas nécessaire.

Avertissement

N'activez pas la fonctionnalité de mandataire avant d'avoir sécurisé votre serveur. Les serveurs mandataires ouverts sont dangereux non seulement pour votre réseau, mais aussi pour l'Internet au sens large.

 mod_proxy
Informations sur les requêtes

mod_proxy_connect enregistre les informations suivantes pour journalisation via le format %{NOMVAR}n dans les directives LogFormat ou ErrorLogFormat :

proxy-source-port
Le port local utilisé pour la connexion vers le serveur d'arrière-plan.

Les requêtes avec méthode CONNECT sont traitées dans les sections Proxy au même titre que toute autre requête HTTP qui passe par cette même section. Il est possible de filtrer explicitement les connexions SSL à travers un mandataire en spécifiant les nom d'hôte et port cible comme suit :

<Proxy www.example.com:443> Require ip 192.168.0.0/16 </Proxy>
AllowCONNECT Ports autorisés à se CONNECTer à travers le mandataire AllowCONNECT port[-port] [port[-port]] ... AllowCONNECT 443 563 server configvirtual host Déplacé depuis mod_proxy à partir d'Apache 2.3.5. Tranches de ports disponibles depuis Apache 2.3.7.

La directive AllowCONNECT permet de spécifier une liste de numéros ou de tranches de ports auxquels la méthode de mandataire CONNECT pourra se connecter. Les navigateurs d'aujourd'hui utilisent cette méthode dans le cas où une connexion https est requise et où le tunneling mandataire sur HTTP est en service.

Par défaut, seuls les ports par défauts https (443) et snews (563) sont pris en compte. Vous pouvez utiliser la directive AllowCONNECT pour outrepasser ces valeurs par défaut et n'autoriser les connexions que vers les ports spécifiés.