Redirigeant le trafic TCP à un socket de domaine UNIX sous Linux

Assumer un héritage application Linux à l'écoute sur une socket de domaine UNIX /tmp/foo.

En plus de communiquer avec cet héritage de l'application sur le socket de domaine UNIX mécanisme, je veux être capable de se connecter via TCP-connexion sur le port de dire 1234.

Quel est le moyen le plus facile de se lier à TCP sur le port 1234, et ensuite rediriger toutes les connexions entrantes à la socket de domaine UNIX /tmp/foo?

InformationsquelleAutor knorv | 2010-01-27

56

S'avère socat peuvent être utilisés à cet effet:
```
socat TCP-LISTEN:1234,reuseaddr,fork UNIX-CLIENT:/tmp/foo
```
Et avec un peu de sécurité supplémentaire:
```
socat TCP-LISTEN:1234,bind=127.0.0.1,reuseaddr,fork,su=nobody,range=127.0.0.0/8 UNIX-CLIENT:/tmp/foo
```
Ces exemples ont été testés et fonctionnent comme prévu.
- socat, netcat, de toute façon. Vous pourriez même envelopper stunnel autour de plusieurs couches de complexité!
- Si quelqu'un veut l'utiliser pour partager docker socket, il devrait enlever su=nobody partie
- À part le menu fixe douille, il suffit de dire le démon Docker pour écouter un port local en passant -H tcp://127.0.0.1:4321 (notez qu'il permet d'accéder au menu fixe démon pour quelqu'un qui peut ouvrir une connexion à 127.0.0.1. Pas uid/gid de chèques ou de quoi que ce soit, mais c'est également vrai pour le netcat/socat approche)
- Savez-vous comment le faire avec menu fixe pour Mac? J'ai "démarrer Automatiquement le Panneau lorsque vous vous connectez à" activé, et il ne semble pas être une option dans les préférences pour l'écoute sur une socket au lieu de la socket Unix.
- Autant que je sache, Docker pour Mac virtualise un noyau linux qui ne le conteneur des trucs. OSX du noyau n'est pas impliqué, vraiment. Cela signifie que le démon docker est en cours d'exécution à l'intérieur de la VM, et que la configuration doit être fait là-bas. Bien que probablement tout ce frontend ils fournissent probablement déjà en pourparlers pour le démon, par le biais de l'API, ce qui signifie qu'il devrait déjà être un socket d'écoute pour que. La principale différence serait que ce ne sera pas à l'écoute sur localhost, mais sur l'interface réseau virtuel de la machine virtuelle, vous pouvez trouver l'adresse IP. Espérons que cette aide.
- Oh, il ne semble pas être une API d'ouverture de port, mais ces gars-là sont à la recherche de la même chose. Il est toujours possible de réaliser cela en jouant avec la config à l'intérieur de la VM. Mais ce sont toutes des suppositions sauvages, je ne sais pas OSX, ni Docker sur cette plate-forme pour cette question...
- Pour Docker pour Mac, je n'ai pas de comprendre comment l'utiliser avoir la machine virtuelle, ouvrez le port, mais la première commande dans cette réponse œuvres. La seconde fonctionne si vous supprimez su=nobody.
InformationsquelleAutor knorv
19

Plus facile? Probablement Netcat (aka nc):
```
nc -l 1234 | nc -U /tmp/foo
```
La première commande à l'écoute sur le port 1234 pour les connexions entrantes, et les tuyaux les données obtenues à la deuxième commande. Le second relie à la socket de domaine Unix /tmp/foo, et écrit son entrée au socket. Notez que ce n'accepte qu'une seule connexion, et la sortie dès que la connexion est abandonnée. Si vous souhaitez rester à l'écoute pour plus de connexions, utilisez le -k option:
```
nc -lk 1234 | nc -U /tmp/foo
```
Vous pouvez tester que cela fonctionne par la mise en place d'un écouteur pour que prise dans un terminal:
```
nc -lUk /tmp/foo
```
Et de l'écriture dans un autre:
```
nc localhost 1234
```
socat, comme recommandé par knorv, est plus capable, mais plus compliqué à utiliser.
- semble nc sous ubuntu (quantique) ne prend pas en charge les sockets unix 🙁
- Vraiment? Vous n'avez pas le nc -U option? Je n'ai pas de Quantique de la machine de test, mais sur la Précision des nc a la -U option, et ce que j'ai dit dans mon commentaire fonctionne très bien. Avez-vous essayé exactement ce que j'ai écrit? Si vous n'êtes pas de trouver que nc fonctionne pour vous, je vous recommande d'essayer socat; il peut faire beaucoup plus de nc, avec beaucoup plus fine de contrôle de la façon dont cela fonctionne, mais il est un peu plus compliqué à comprendre comment l'utiliser.
- Oui, je viens de tester à nouveau (netcat 1.10-40): nc -l 1234 | nc -U /tmp/foo donne nc: invalid option -- 'U' et nc -h for help. socat fonctionne très bien 🙂
- Regarde comme il y a deux nc paquets sur Ubuntu. netcat-traditional et netcat-openbsd. netcat-openbsd est celui que j'ai installé, et semble avoir plus de fonctionnalités que netcat-traditional. Vous pouvez installer les deux à la fois, avec nc et netcat liés à l'un ou l'autre.
- Ah ok, merci pour l'info 🙂
- Le problème avec cette approche est que le pipeline est unidirectionnel. Si nous attendons une réponse de l'écoute de processus sur unix socket de domaine, la seule façon de le communiquer via un socket TCP est socat qui transmettra la réponse à revenir vers nous.
InformationsquelleAutor Brian Campbell
3

Vous devriez être capable de se lier à TCP 1234, obtenez une prise fd pour /tmp/foo et sélectionnez appel à "écouter" pour les données sur les deux 1234, et /tmp/foo. Toutes les données écrites à 1234, vous réécrivez /tmp/foo et vice-versa.

Vous maintenant agir comme un proxy et le transfert de données d'avant en arrière.

Et voici une page web qui pourraient vous aider: http://osr507doc.sco.com/en/netguide/dusockC.io_multiplexing.html

InformationsquelleAutor

Dans additons à @knorv de réponse: avec xinetd il peut fonctionner comme un démon

# cat /etc/xined.d/mysrv
service mysrv
{
 disable = no
 type = UNLISTED
 socket_type = stream
 protocol = tcp
 wait = no
 server = /usr/bin/socat
 server_args = STDIN UNIX-CLIENT:/tmp/mysocket.sock
 bind = 127.0.0.1
 port = 1234
}

InformationsquelleAutor hloroform

0

Pas essayé mais il semble que 'lighttpd' peut le faire pour vous:

http://redmine.lighttpd.net/wiki/lighttpd/Docs:ModProxyCore
- Malheureusement lighttpd est massive overkill pour ce que l'affiche veut.
- N'est-ce vraiment le travail pour arbitraire TCP et pas seulement pour HTTP?
InformationsquelleAutor monojohnny

Vous devez vous connecter pour publier un commentaire.