我的主机是 – 可以理解的 – 削减新服务器提供的IPv4地址,以便下次我将我的东西重新定位到新的服务器时,我将获得大量的IPv6地址,但只有一个IPv4地址。
对于我只运行一个实例(如SMTP)的服务,这不应该是一个问题。 我将通过简单的NAT(使用iptables/6 )来进行NAT转换。 但是,对于其他服务 – 我特别担心HTTP / S在这里 – 我看到如何将传入的stream量传递给正确的访客机器,显然将出站数据导出到客户端。
我的主要问题是安全性。 我想我可以(ab)使用一个通常的代理服务器或一个也可以作为代理服务器的web服务器(nginx,lighttpd)。 但是,在这种情况下,访客系统将此视为“本地请求”,某些访问控制机制可能会失败。 此外,HTTPS在这里是一个大问题,因为encryption的stream量,虽然我可以让主机系统完全实现HTTPS部分和代理/来宾系统未encryption(已经在一台机器上使用该方法,其中一个lighttp实例作为Apache2后端的前端处理一组特定的URI)。
即使处理个别域名是由个别客户执行,我怎样才能向外界提供相同的服务(HTTP / S在这里)? 或者说,现在最好的做法是什么呢?
[internet] <--> [IPv4:host] <-+-> [guest:foo.org] | |-> [guest:bar.org] | |-> [guest:baz.org]
…还是我可以忽略所有这些问题,只给这些域AAAAlogging,让客户端处理一切?
除了“下一次我将我的东西重新定位到一个新的服务器,它将在一个拥有更多IP的新主机上”之外,我看不到这个结局。 除非你计划3 – 5年或者你的用户是真正的密友,否则这可能会stream下眼泪。
IPv6仍然不是主stream,没有IPv4,你只是不会有任何访问者。 只有拥有AAAAlogging才能成为一个相当闲置的服务器。 有趣的经验是,在3 – 5年之内,每个人都会至less将其廉价的无线路由器废掉一次,也许到时候人们购买新的廉价路由器将支持它,而不需要OpenWRT。
在安全方面, X-Forwarded-For:devise用于让服务器知道连接到反向代理服务器的IP,所以你需要重写站点的代码,让它看看头部而不是连接本身。
SNI是为了处理SSL虚拟主机而开发的,几乎每一个当前的服务器都支持它,所以设置Apache或Nginx的反向代理应该在那里覆盖你。 如果任何客人需要客户端SSL证书,我不知道如何从代理传递证书信息(我确定它是在一个头中发送)。 这里真正的问题是,在Windows XP上,IE不支持SNI,并且无论input什么主机名,都将获得默认的虚拟主机证书,希望用户可以升级Windows或切换到Firefox。