<div dir="ltr">I would just go ahead with the Spacewalk Proxy, even if you don't care about caching packages.. We register all clients through the Spacewalk proxies, and our Spacewalk servers (Primary and Standby) sit behind a load balancer. This way we force compliance at the Proxy level.. no clients can communicate directly to the Spacewalk server, and only the Spacewalk proxies can broker traffic between client and server. As an additional layer of Security.. you can use the root CA certificate for your organization on the load balancer, and append that to your SSL-CERT that the proxies use for communication to the Spacewalk server.. This is what allows only the Proxies to get traffic through the load balancer, while your clients use the normal SSL-CERT generated by the Spacewalk server. <div><br></div><div>I suppose you could use just a standard Squid proxy, as long as it will pass SSL traffic also.. but I'd recommend using the supported Spacewalk Proxy approach.. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 10, 2014 at 1:51 PM, Waldirio Manhães Pinheiro <span dir="ltr"><<a href="mailto:waldirio@gmail.com" target="_blank">waldirio@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Friends<div><br></div><div>You can do this (as mentioned by Amedeo) or you can use a SW in your DMZ and another SW in your Internal Network, the second will just sync channels from the main SW (Inter Satellite Sync - ISS), but at the end, I recommend proxy too.</div><div><br></div><div>B'Regards</div></div><div class="gmail_extra"><br clear="all"><div><div><div>______________<br>Atenciosamente<br>Waldirio<br>msn: <a href="mailto:waldirio@gmail.com" target="_blank">waldirio@gmail.com</a><br>Skype: waldirio<br>Site: <a href="http://www.waldirio.com.br" target="_blank">www.waldirio.com.br</a><br>Blog: <a href="http://blog.waldirio.com.br" target="_blank">blog.waldirio.com.br</a></div>
<div>LinkedIn: <a href="http://br.linkedin.com/pub/waldirio-pinheiro/22/b21/646" target="_blank">http://br.linkedin.com/pub/waldirio-pinheiro/22/b21/646</a><br>PGP: <a href="http://www.waldirio.com.br/public.html" target="_blank">www.waldirio.com.br/public.html</a></div></div></div><div><div class="h5">
<br><div class="gmail_quote">On Mon, Nov 10, 2014 at 5:25 PM, Amedeo Salvati <span dir="ltr"><<a href="mailto:amedeo@oscert.net" target="_blank">amedeo@oscert.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Glen,  i don't understand the reasons... but you can install one spacewalk server and one spacewalk proxy and then, your clients will connect to your spacewalk proxy, that will forward request to spacewalk server</div><div><br></div><div><br></div><div><br></div><div><div style="font-size:100%">Inviato da Tablet Samsung</div></div> <br><br><br>-------- Messaggio originale --------<br>Da: Glen Collins <<a href="mailto:glenc2004@comcast.net" target="_blank">glenc2004@comcast.net</a>> <br>Data: 10/11/2014  19:29  (GMT+01:00) <br>A: Amedeo Salvati <<a href="mailto:amedeo@oscert.net" target="_blank">amedeo@oscert.net</a>> <br>Cc: <a href="mailto:spacewalk-list@redhat.com" target="_blank">spacewalk-list@redhat.com</a>,<a href="mailto:glenc2004@comcast.net" target="_blank">glenc2004@comcast.net</a> <br><span>Oggetto: Re: [Spacewalk-list] Squid Proxy for Spacewalk <br> <br><br><div style="font-family:Times New Roman;font-size:12pt;color:#000000"><div>Thanks for the reply. My security guys just want another level of security. The SW server is already in my DMZ. But they want my clients to connect to a proxy and then have the proxy connect to the SW server. I don't need any sort of caching, just need a forwarder which I thought squid could do just fine.</div><div><br></div><div>Thanks</div><div><br></div><div>Glen Collins</div><div><br></div><hr><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt"><div>squid on spacewalk proxy is used to cache rpms, and on default configurations accept only connections from localhost...<br><div><br></div>instead of using squid to improve security you can filter access to your spacewalk server by putting it on dmz behind your firewall and then enable only hosts that you want.<br><div><br></div>best regards<br> <br><div><span style="font-family:Arial;font-size:11px;color:#5f5f5f">Da</span><span style="font-family:Arial;font-size:12px;color:#5f5f5f;padding-left:5px">: <a href="mailto:spacewalk-list-bounces@redhat.com" target="_blank">spacewalk-list-bounces@redhat.com</a></span></div><div><span style="font-family:Arial;font-size:11px;color:#5f5f5f">A</span><span style="font-family:Arial;font-size:12px;color:#5f5f5f;padding-left:5px">: <a href="mailto:glenc2004@comcast.net" target="_blank">glenc2004@comcast.net</a>, <a href="mailto:spacewalk-list@redhat.com" target="_blank">spacewalk-list@redhat.com</a></span></div><div><span style="font-family:Arial;font-size:11px;color:#5f5f5f">Cc</span><span style="font-family:Arial;font-size:12px;color:#5f5f5f;padding-left:5px">: </span></div><div><span style="font-family:Arial;font-size:11px;color:#5f5f5f">Data</span><span style="font-family:Arial;font-size:12px;color:#5f5f5f;padding-left:5px">: Mon, 10 Nov 2014 09:54:45 +0000</span></div><div><span style="font-family:Arial;font-size:11px;color:#5f5f5f">Oggetto</span><span style="font-family:Arial;font-size:12px;color:#5f5f5f;padding-left:5px">: Re: [Spacewalk-list] Squid Proxy for Spacewalk</span></div><br><div><div dir="ltr">> not out of the box, it needs configuring but yup it does, im pretty sure when you isntall the proxy it also installs and configures squid<br></div><div class="gmail_extra"><br><div class="gmail_quote">> On 10 November 2014 03:37, Glen Collins <span dir="ltr"><<a href="mailto:glenc2004@comcast.net" target="_blank">glenc2004@comcast.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:Times New Roman;font-size:12pt;color:#000000"><div>> Hello all. Is it possible to just use a squid proxy out of the box for spacewalk? I don't need to cache packages and such. I just need to restrict access from the client side to the spacewalk master. Just another level of access our security guys want. Just didn't want to go down this rabbit whole if it's not going to work and I'll just have to go fourth with adding the actual spacewalk proxy.<br></div><div><br></div><div>> Thanks<span><span color="#888888" style="color:#888888"><br></span></span></div><div><br></div><div>> Glen Collins<br></div></div></div><br>> _______________________________________________<br>> Spacewalk-list mailing list<br> <a href="mailto:Spacewalk-list@redhat.com" target="_blank">> Spacewalk-list@redhat.com</a><br> <a href="https://www.redhat.com/mailman/listinfo/spacewalk-list" target="_blank">> https://www.redhat.com/mailman/listinfo/spacewalk-list</a><br></blockquote></div><br></div></div></div></div><div><br></div></div></span></div><br>_______________________________________________<br>
Spacewalk-list mailing list<br>
<a href="mailto:Spacewalk-list@redhat.com" target="_blank">Spacewalk-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/spacewalk-list" target="_blank">https://www.redhat.com/mailman/listinfo/spacewalk-list</a><br></blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
Spacewalk-list mailing list<br>
<a href="mailto:Spacewalk-list@redhat.com">Spacewalk-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/spacewalk-list" target="_blank">https://www.redhat.com/mailman/listinfo/spacewalk-list</a><br></blockquote></div><br></div>