d********g
发帖数: 10550 | 1 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
假设原始拓扑如下:
神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
体设置,不是很重要。我们暂且去掉它,简化如下:
神人 ---> 神网 ---> 神由 ---> 各种神器
众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
VPN VPN
神人 ===> 神偷 ===> 神由 ---> 各种神器
VPN起到加密作用。但这个方案局限很大。VPN客户端不一定随时都有,比如手机、pad
和别人电脑。同时如果只是想加密WebUI,使用VPN就大材小用了
如果有神座,可以安装web server来做反向代理。原理很简单,web server起到一个防
火墙的作用,对外只提供加密HTTPS访问,对内通过未加密HTTP访问神器。拓扑如下:
HTTPS HTTPS HTTPS
神人 =====> 神偷 =====> 神由 =====> 神座 ---> 神器
更神的是,神由自己以及神座上各种服务的WebUI也可以被反向代理包装一下。虽然神
由也提供HTTPS WebUI,但毕竟它不是完整Linux,加密强度很低,不安全
HTTPS首先要证书。具体教程就不细说,可以自己生成,不过为了浏览器不弹出警告,
最好申请或者买一个正式的装上,把对应主机名解析到神由外网IP,再通过SSL认证的
主机名访问。然后在神座上装web server设成reverse proxy,一般用nginx比较多,我
个人偏好Cherokee。接下来花点时间设置即可
假设:
神由内网IP 192.168.1.1,神座 192.168.1.2,神话 192.168.1.3
神由WebUI端口80,神座Webmin WebUI端口10000,神话WebUI端口80
先在神由上设端口转发:
神由8080 --> 神座192.168.1.2:8080 (HTTPS监听端口)
神由10000 --> 神座192.168.1.2:10001(HTTPS监听端口)
神由8088 --> 神座192.168.1.2:8088 (HTTPS监听端口)
接下来在神座web server里设反向代理:
神座8080 --> 神由192.168.1.1:80 (神由WebUI HTTP端口)
神座10001 --> 神座127.0.0.1:10000(神座Webmin WebUI HTTP端口)
神座8088 --> 神话192.168.1.3:80 (神话WebUI HTTP端口)
这样所有访问先由神由透明转发给神座,通过神座升级到HTTPS,再访问真正的WebUI
访问神由: 神由8080 ===> 神座8080 ---> 神由80
访问神座Webmin:神由10000 ===> 神座10001 ---> 神座10000
访问神话: 神由8088 ===> 神座8088 ---> 神话80
有些WebUI会有验证页面,而神话和神眼就都没有。解决办法是在神座反向代理上再设
置一个验证,确保安全。不怕折腾的还可以使用SSL客户端证书进行双向认证
好了,大功告成!
我顺手在神座上设了个页面,可以看看SSL证书。访问:
kengdad.com
会自动转向到https://www.kengdad.com。证书不会有警告 |
d********g
发帖数: 10550 | 2 发现写教程太不现实了,很多东西一下子说不清楚。意会即可,乐趣在于自己折腾
另外我用nginx配反向代理始终要出错,Cherokee很好用
想了下,反向代理也应该能直接在神由上装,如果optware有相应软件的话
【在 d********g 的大作中提到】
: 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
: 假设原始拓扑如下:
: 神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
: 神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
: 光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
: 体设置,不是很重要。我们暂且去掉它,简化如下:
: 神人 ---> 神网 ---> 神由 ---> 各种神器
: 众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
: 神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
: 登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
|
s**l
发帖数: 695 | 3 公孙神医神医呕心沥血大作
真是令人惊叹啊!!!!!!!!!!!!!!!!!! |
a*****s
发帖数: 2663 | 4 不错,俺也觉着Cherokee很好用。
【在 d********g 的大作中提到】
: 发现写教程太不现实了,很多东西一下子说不清楚。意会即可,乐趣在于自己折腾
: 另外我用nginx配反向代理始终要出错,Cherokee很好用
: 想了下,反向代理也应该能直接在神由上装,如果optware有相应软件的话
|
r*****8
发帖数: 2697 | 5 神使的神篇啊! 狂赞!
您老力荐的cherokee在神座上超爽, 正准备把单位的web server也改成它了 |
n******l
发帖数: 3427 | 6
物尽其用,真好。
我跳的神座,神由,放家里默认设置使用中
感觉有点暴殄天物啊。
【在 d********g 的大作中提到】
: 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
: 假设原始拓扑如下:
: 神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
: 神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
: 光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
: 体设置,不是很重要。我们暂且去掉它,简化如下:
: 神人 ---> 神网 ---> 神由 ---> 各种神器
: 众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
: 神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
: 登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
|
d********g
发帖数: 10550 | 7 目前Cherokee加https必须要把Chunked Encoding关掉,好像是个bug
另外ciphers设成HIGH:!aNULL:!MD5,默认的会不安全
我早就在production机器上使用Cherokee了,不比nginx差,功能还多
【在 r*****8 的大作中提到】
: 神使的神篇啊! 狂赞!
: 您老力荐的cherokee在神座上超爽, 正准备把单位的web server也改成它了
|
s****c
发帖数: 11300 | 8 靠 太牛了
【在 d********g 的大作中提到】
: 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
: 假设原始拓扑如下:
: 神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
: 神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
: 光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
: 体设置,不是很重要。我们暂且去掉它,简化如下:
: 神人 ---> 神网 ---> 神由 ---> 各种神器
: 众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
: 神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
: 登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
|
d*****0
发帖数: 68029 | |
x**y
发帖数: 1086 | |
|
|
s*******a
发帖数: 8827 | 11 cloud时代了还在折腾这些过时的东东阿。。
【在 d********g 的大作中提到】
: 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
: 假设原始拓扑如下:
: 神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
: 神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
: 光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
: 体设置,不是很重要。我们暂且去掉它,简化如下:
: 神人 ---> 神网 ---> 神由 ---> 各种神器
: 众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
: 神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
: 登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
|
d********g
发帖数: 10550 | 12 笑话了,cloud时代那是忽悠普通用户的,你就是自己折腾OpenStack也离不开这些基本
的东东。就好比果轮只知道手指划来划去,哪想过背后实现让他们划来划去功能的人其
实还是在搞这些基础,只不过包装一下拿出来
【在 s*******a 的大作中提到】
: cloud时代了还在折腾这些过时的东东阿。。
|
T*******i
发帖数: 4992 | 13 正准备搞django+nginx呢
看来要考虑一下cherokee了
【在 d********g 的大作中提到】
: 题目很大有挖坑嫌疑,其实就是讲在神座上设置HTTPS反向代理。我简单说说
: 假设原始拓扑如下:
: 神人 ---> 神网 ---> 神拨/神缆/神光 ---> 神由 ---> 神座/神话/神眼
: 神人想远程操作/监控神器,要经过层层关卡。通常做法是端口转发,从神拨/神缆/神
: 光开始,一路转发到各种神器。到神由是否需要转发取决于神拨/神缆/神光这一层的具
: 体设置,不是很重要。我们暂且去掉它,简化如下:
: 神人 ---> 神网 ---> 神由 ---> 各种神器
: 众所周知神网并不安全,有很多神偷。直接端口转发的前提是神器必须提供安全连接。
: 神由和神座还好,但我用的神话和神眼只提供HTTP WebUI,这样如果要安全的话必须先
: 登录神由的VPN,再连接神话和神眼。下面用双线表示安全连接:
|
d********g
发帖数: 10550 | 14 Django两种都容易配,可以配好后一个用一个备用
如果你用uWSGI来解析,那么Cherokee设好后可以做到同时启动/关闭uWSGI。nginx只是
设定个转发,具体的uwsgi服务需要额外运行,比如写到初始脚本里。个人觉得
Cherokee的方案更好
【在 T*******i 的大作中提到】
: 正准备搞django+nginx呢
: 看来要考虑一下cherokee了
|
d********g
发帖数: 10550 | 15 今天新发布的版本已经解决了这两个问题,直接使用系统默认即可
【在 d********g 的大作中提到】
: 目前Cherokee加https必须要把Chunked Encoding关掉,好像是个bug
: 另外ciphers设成HIGH:!aNULL:!MD5,默认的会不安全
: 我早就在production机器上使用Cherokee了,不比nginx差,功能还多
|
D**C
发帖数: 6754 | |
c********r
发帖数: 520 | |
t**d
发帖数: 6474 | 18 太烦了。我用简单的,ssh通道到神座,可以做几乎任何事情。 |
