ha 配置ssl_haproxy ssl和ssh配置

最新推荐文章于 2022-04-22 08:28:01 发布
最新推荐文章于 2022-04-22 08:28:01 发布
阅读量262 收藏
点赞数
文章标签: ha 配置ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42501331/article/details/112937298
版权

Using HAProxy to make SSH and SSL available on the same port

Certain places firewall TCP ports other than the most common ports. There are many techniques for bypassing such restrictions. One simple approach is to run a SSH daemon on port 443, however a downside of this is you need to dedicate an IP address to this SSH service.

There is quite a neat technique for making SSH and SSL share a port; in the SSL protocol clients should write first, whereas in SSH the server should write first; therefore by waiting to see if the client writes data it is possible to make a guess as to if the client is an SSL client or a SSH client.

I'm not the first person to think this up, Net::Proxy has a script called sslh and confusingly there is also a C implementation also called sslh.

I recently switched my web server to use HAProxy to allow me some more flexiblity in how I configure things (especially now the development version has keepalive support). While reading the (incredibly detailed) documentation I noticed it should be able to do the sslh technique.

Doing this needs the (currently) in development HAProxy 1.4 (support was added for content switching TCP as well as HTTP in this commit -- thanks to Cyril Bonté on the mailing list for confirming that).

The configuration looks something like the following (global section omitted, you'll want to run it as a user other than root and chroot it if you actually use this). defaults

timeout connect 5s

timeout client 50s

timeout server 20s

listen ssl :443

tcp-request inspect-delay 2s

acl is_ssl req_ssl_ver 2:3.1

tcp-request content accept if is_ssl

use_backend ssh if !is_ssl

server www-ssl :444

timeout client 2h

backend ssh

mode tcp

server ssh :22

timeout server 2h

This listens on port 443, forwards it to port 444 (where the actual SSL web server is listening) unless it is not SSLv2, SSLv3 or TLSv1 traffic, in which case it forwards it to the ssh backend listening on port 22.

Obviously as I said earlier this is only a guess that is subject to network conditions such as packet loss. I'm not recommending you use this technique on a production site, but for a low traffic machine where you want to run both protocols it is very useful. (By increasing the timeout for SSH you increase the chances of a correct result, but also add a potentially annoying delay).

Sometimes layer 7 filtering techniques are in use and just listening on port 443 is not enough. In this case you can use SSH inside SSL.

zhang十泉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
80端口复用:利用haproxy把http流量和ssh流量分别转发到web服务器和ssh服务器
zebra2011的专栏
04-23 8446
我们实验室在学校里面有一台服务器,带一个公网ip,但是只开了一个80端口,22端口竟然不给开!!!这让我很是不爽。之前一直待学校里,不给开我忍忍就算了,最近搬到了个没有校园网的偏远地方,连不上实验室的服务器实在是不能忍。于是重新折腾之前安装在服务器上的haproxy。     安装教程网络上到处到有,我按照网上的教程安装好haproxy后,再按照知乎上的https://www.zhihu.com
haproxy
哭的博客
09-27 486
HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。HAProxy实现了一种事件驱动**, **单一进程模型,此模型支持非常大的并发连接数。
Haproxy-nginx-SSH -tcp代理
weixin_42562106的博客
12-31 1343
编译参数 --prefix=/usr/local/nginx --with-pcre --user=daemon --group=daemon --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-stream --with-http_gzip_static_module worker_processes 1; #error_log logs/error.log; #error_log
Haproxy-1.5.x SSL配置
weixin_33913332的博客
08-13 165
一直使用haproxy-1.4版本代理, 不支持ssl配置haproxy-1.5版本支持,于是更新了版本进行测试。所使用的证书文件,使用原apache ssl证书文件进行简单处理可以在haproyx上使用。 本来想使用haproxy-1.4的穿透的,但是要后端服务器均要配置ssl,于是配置在了Haproyx-1.5上,实现ssl终端CA认证。本文出自:http://ko...
SSHSSL比较
allwtg
12-17 6500
一、SSH介绍  什么是SSH?    传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据, 别有用心的人非常容易就可以截 获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到"中间人"(man-in-the-middle)这种方式的攻 击。所谓"中间人"的攻击方式, 就是"中间人"冒充真正的服务器接
haproxy-2.6.5 for windows 64位 支持ssl
09-22
haproxy-2.6.5 windows版本64位,四个dll文件,该版本支持ssl pem证书文件需要自己生成 带运行库,可以直接运行。自己用Cygwin64 Terminal编译的,这个是64位版本
haproxy-2.7.3 for windows 64位 支持ssl
03-12
haproxy-2.7.3 windows版本64位,四个dll文件,该版本支持ssl pem证书文件需要自己生成 带运行库,可以直接运行。自己用Cygwin64 Terminal编译的,这个是64位版本
haproxy-3.1 for windows 64位 支持ssl
最新发布
06-26
在压缩包文件名称列表中,"haproxy3.1ssl"可能包含了haproxy 3.1版本的二进制文件和其他相关配置或文档。用户在部署haproxy时,需要根据实际需求编辑配置文件(通常是`haproxy.cfg`),设置前端和后端服务器,定义...
部署haproxy+ssl+keepalived
10-14
2. **配置haproxy**:编写haproxy配置文件(通常为`/etc/haproxy/haproxy.cfg`),定义前端和后端,设置负载均衡策略,导入SSL证书和私钥。 3. **配置SSL**:根据需求生成或获取SSL证书,确保证书与私钥匹配,并...
haproxy配置文件
02-19
#默认配置 #--------------------------------------------------------------------- defaults #默认的模式【tcp:4层; http:7层; health:只返回OK】 mode http #继承全局的日志定义输出 log global #...
购买阿里云ecs后所做项目一:使用ssh+haproxy 实现内网穿透
liuhaoy的博客
05-25 1046
前言   买了一台阿里云的ecs 不过配置不咋地,但是相中了它的公网ip,买它起初是想搭建一个WordPress,来写博客,可能以后会写两份,这里写一份,那里写一份。   不说废话了,言归正传,家里有一台自己装的一个台式机,性能还可以,公司配的笔记本性能不太好,像练习集群什么的,配置不太高,然后家里的台式机是没有公网ip的,当然了,如果使用teamview,向日葵什么的也行但是我不太喜欢。不如远程桌面来的实在。实际环境如下:   办公电脑–>阿里云ecs(linux)–>家用路由器–>台式
SSH协议、HTTPS中SSL协议的完整交互过程
weixin_34368949的博客
06-20 303
1.(SSH)公私钥认证原理 服务器建立公钥:每一次启动sshd服务时,该服务会主动去找/etc/ssh/ssh_host*的文件 客户端通过ssh工具进行连接,如Xshell,SecureCRT 服务端送公钥给客户端 客户端记录并比对服务器的公私钥,并随机产生自己的公私钥 回传自己的公钥给服务端 2.SSL 1.安全套接字(Secure Socket Layer,SS...
Git第七阶段:http/https proxy/ssh proxy/git proxy
songpeng26的博客
08-18 564
git config --global --unset http.proxy git config --global --unset https.proxy git config --global http.proxy http://proxy.bizerba.com:8080 git config --global https.proxy https://proxy.bizerba.com:8080 git config --global http.proxy "socks5://127.0.0.1:10
浅谈SSLSSH以及各层安全协议
06-11 4724
“(1)应用层安全(Security at the Application Layer):邮件系统安全(Electronic Mail Security) 电子邮件安全要素(Email security issues) PGP协议(PGP-Pretty Good Privacy) (2)传输层安全(Security at the Transport Layer):SSL SSL上的四个子协
【无标题】ha
weixin_61518174的博客
12-25 813
机器检查: 1、输入用户名及登录密码进行登录 2、 检查内网是否畅通 A、查看机器IP地址 ip addr 注:通过观察此台机器IP为192.168.231.244 B、测试内网 注:通过观察机器内网畅通 C、测试外网 注:通过观察此台机器外网畅通 注:...
haproxy https实现
一直在努力学习的菜鸟
04-22 3980
haproxy https实现 haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信。但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现 #配置HAProxy支持https协议,支持ssl会话; bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE #指令crt后证书文件为PEM格式,需要同时包含证书和所有私钥 cat demo.key demo.crt > demo.pem #把
HAProxy一箭双雕——让一个端口完成两件事
随风之影
01-26 5983
背景 这里为啥会想到让一个端口做两件事呢,主要是因为小编的网络环境处于校园网里面,而校园网的防火墙对外只开放TCP的80端口,也就是说,如果从外部网络访问校园网内部的机器那只能通过80端口来访问。而学过套接字编程的童鞋都明白,一个端口号和固定的IP地址共同标识了物理机器上的一个进程,对于只有单个网卡的机器来说,通过一个端口号只能访问到本物理机器上的一个进程。但是在实际应用的需求中,显然是希望该物
haproxy实现tcp代理
热门推荐
yanggd1987的专栏
07-29 1万+
简介haproxy大多数情况下在http(七层)代理,如apache,tomcat等,下面我们就来讲下haproxy的tcp(四层)代理,可以用于ssh、mysql、mongodb等多种场合。需求 ip 应用 角色 10.10.10.15 haproxy tcp代理 10.10.10.16 mongodb master 10.10.10.17 mongodb
HAPRoxy(一):HAProxy基本配置、调度算法与tcp、http、heath模式配置示例
weixin_34128534的博客
10-11 483
一、HAProxy安装 1.HAProxy简单介绍 HAProxy虽然名字前有HA,但它并不是一款高可用软件,而是一款用于实现负载均衡的软件,可实现四层与七层的负载均衡。 2.yum安装HAProxy HAProxy已经包含在yum的base中,版本为1.15,可以直接yum安装 ~]# yum install -y haproxy HAProxy配置文件路径为:/etc/h...
nginx开启ssl_preread并透传真实客户端ip
05-28
开启`ssl_preread`并透传真实客户端IP需要进行如下配置: 1. 在Nginx配置文件中加入`ssl_preread`相关配置: ```nginx stream { map $ssl_preread_protocol $upstream { "TLSv1.3" backend_tls13; "TLSv1.2" backend_tls12; "TLSv1.1" backend_tls11; "TLSv1.0" backend_tls10; default backend_tls10; } upstream backend_tls13 { server 192.168.1.1:443; } upstream backend_tls12 { server 192.168.1.2:443; } upstream backend_tls11 { server 192.168.1.3:443; } upstream backend_tls10 { server 192.168.1.4:443; } server { listen 443; proxy_pass $upstream; ssl_preread on; proxy_protocol on; } } ``` 2. 在后端服务器中安装支持`proxy_protocol`的软件,如HAProxy等。 3. 配置后端服务器接收`proxy_protocol`协议,并解析出客户端的真实IP地址。 这样配置之后,Nginx会使用`ssl_preread`预读取客户端的TLS版本信息,并将请求转发到相应的后端服务器上。同时,Nginx也会通过`proxy_protocol`透传客户端的真实IP地址给后端服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值