我们有一个使用BlueCoat ProxySG(软件6.4.3.1)的明确的(不透明的)代理设置。 当我创buildWeb访问层规则,如: 协议:HTTPS – >所有HTTPS:允许, 协议:所有TCP隧道:然后是DENY 我仍然可以通过代理在外面做一个SSH。 相反,当指定的东西沿线 协议:所有壳牌:DENY (没有HTTPS的明确声明)我也可以通过代理进行SSH。 唯一有用的(用SSH)是指定All TCP Tunneling: DENY 。 但是在这种情况下HTTPS也不能工作。 因此HTTPS似乎被视为TCP隧道。 这也是跟踪文件在HTTPS请求上显示的内容: CONNECT tcp://www.xxx.com:443/ 我知道,只要有人被允许创build传出的encryption连接,他们可能会做几乎任何工作。 但是我不想让它太容易。 那么如何识别HTTPS而不允许太多其他的东西呢? (可能不设置MitM的东西等等)为什么有一个名为HTTPS的对象,当我使用它不会改变任何东西。 我真的没有那个部分。
我得到了这个Flask应用程序,我在这个共享服务器上用127.0.0.1:5002上的gunicorn运行。 我有一个自己的nginx实例,我可以添加自定义configuration。 nginx目录的结构是这样的: ~/.nginx | conf.d | nginx.conf | […] 其中nginx.conf包含以下内容: pid /media/sdl1/home/USERNAME/.nginx/pid; error_log /media/sdl1/home/USERNAME/.nginx/error.log; worker_processes 1; worker_rlimit_nofile 65535; events { worker_connections 8192; } http { include /etc/nginx/mime.types; default_type application/octet-stream; access_log off; sendfile on; tcp_nopush on; real_ip_header X-Forwarded-For; client_max_body_size 1g; client_body_temp_path /media/sdl1/home/USERNAME/.nginx/client; fastcgi_temp_path /media/sdl1/home/USERNAME/.nginx/fastcgi; uwsgi_temp_path /media/sdl1/home/USERNAME/.nginx/uwscgi; scgi_temp_path /media/sdl1/home/USERNAME/.nginx/scgi; include conf.d/*.conf; } 现在指向conf.d目录,其中包含一个名为000-default-server.conf的文件和一个名为000-default-server.d的空目录 000-default-server.conf包含这个: server { […]
我们在运行客户端设备的Web代理自动发现(WPAD)设置的环境中安装了2012域控制器,并且该代理服务器需要身份validation。 但是,Windows更新不支持需要validation的代理服务器。 所以我们要防止我们的服务器上的Windows更新使用WPAD代理设置。 在域成员服务器上,我们可以login到本地pipe理员帐户(不是域pipe理员),并取消勾选IE自动选项中的“自动检测代理设置”,并解决这些服务器上的问题。 但是,域控制器没有本地pipe理员帐户,因为该帐户是域pipe理员帐户。 这样做到DC上的域pipe理员帐户并不妨碍它使用WPAD。 我们运行需要身份validation的代理服务器的全部目的是,我们可以识别基于会话的远程桌面服务器上的用户在互联网上正在做什么。 有关Windows更新和代理服务器的一些信息,请参阅此MS KB文章 “Windows Update客户端如何确定使用哪个代理服务器连接到Windows Update网站” – http://support.microsoft.com/kb/900935
我使用NGINX作为上游IISnetworking服务器的反向networking代理。 我正在对IIS服务器上的https绑定进行proxy_pass,所以我知道SSL正在被encryption/解密两次,但不应该像现在这样慢。 NGINX版本1.4.4 OpenSSL版本1.0.1f 我试过的东西: 调整SSL密码列表 重新编译NGINX,debugging和升级到最新的OpenSSL 检查访问/错误/debugging日志logging输出 玩W /各种NGINX指令 使用ApacheBench进行testing: 每秒请求数: HTTP(通过nginx)= 3312 RPS HTTPS(通过nginx)= 273 RPS < – ? HTTP(直接到后端)= 4237 RPS HTTPS(直接到后端)= 1349 RPS 示例ApacheBench输出: abs -c 100 -n 1000 h ttps://nginxtest1.mydomain.com/ Benchmarking nginxtest1.mydomain.com (be patient) Completed 100 requests Completed 200 requests Completed 300 requests Completed 400 requests Completed 500 requests Completed […]
我们有一台防火墙后面的PC。 (ASA 5505) [PC] => [ASA防火墙] => [公司代理/防火墙/任何] => [Internet] : – PC和ASA防火墙在我们的控制之下…其余的由我们的客户拥有和pipe理。 我需要电脑只能访问互联网上的一个IP地址。 (在端口80和https上) 由于各种原因,我不希望个人电脑知道防火墙外的互联网通过代理服务器。 我也不想强迫公司必须改变他们的代理服务器设置。 是否有可能获得思科(ASA)防火墙将请求转换为IP地址到代理请求,并阻止所有其他IP地址? 有没有其他解决scheme只涉及防火墙的configuration?
我试图通过使用开瓶器的HTTP代理和〜/ .ssh / config中的以下节点来SSH远程服务器: Host target ProxyCommand corkscrew proxy 80 remote.host.ip 443 ~/.ssh/proxyauth 哪里; “代理80”是HTTP代理的DNS名称和端口,我的SSH服务器被configuration为侦听remote.host.ip的端口443,并且proxyauth文件包含访问HTTP代理所需的“user:password”。 我在客户端得到以下信息: $ ssh target ssh_exchange_identification: Connection closed by remote host 并在服务器上,在/var/log/auth.log我得到; Mar 12 13:16:32 hostname sshd[16029]: Did not receive identification string from xxxx 它看起来好像SSH客户端(OpenSSH)不正确地启动协议,或者代理以某种方式破坏它,然后服务器closures连接。 我试过并消除的东西是; 使用〜/ .ssh / config ProxyCommand中的相同参数直接在客户机上运行corkscrew。 这工作,我看到服务器的SSH横幅广告协议和版本信息。 所以通过HTTP代理的基本连接工作,SSHD肯定是可及的(也可以通过查看服务器上的日志条目来certificate)。 testing客户端的密钥对对同一台服务器,但从不需要代理的主机。 这工作正常,所以密钥对是好的。 增加SSH两端的日志logging,显示结果; 客户… $ ssh -vvv target […]
当我试图检入代码到TFS时,我最近开始看到下面的错误: The underlying connection was closed: A connection that was expected to be kept alive was closed by the server. TFS服务由我们的供应商托pipe。 当我直接连接到互联网,我可以检查代码。 但是,当我通过我们的局域网连接(这意味着我要么通过代理服务器,或可以重新configuration我的连接绕过代理,而是通过防火墙),我收到上述错误。 同样来自基于现场的供应商的顾问谁从我们的局域网的VPN到我们的供应商的networking没有看到这个问题。 这个问题对我来说并不是独一无二的,但是对于任何想从我们的networking(没有VPN)登入TFS的人来说都是一样的。 只有登记入住似乎受到影响。 检出代码,浏览存储库,查看历史logging或访问门户网站均按预期工作。 当我看着使用Fiddler的HTTPstream量时,我可以看到许多HTTP 401错误,这些错误来自URL / url / /tfs/myCompanyName/VersionControl/v1.0/upload.ashx / /tfs/myCompanyName/VersionControl/v3.0/repository.asmx /tfs/myCompanyName/VersionControl/v1.0/upload.ashx , /tfs/myCompanyName/VersionControl/v3.0/repository.asmx和/tfs/myCompanyName/VersionControl/v1.0/repository.asmx 。 据我们所知,供应商没有改变他们的TFS或防火墙,而我们这边没有修改代理或防火墙; 但是这个function在2个星期前就工作了,现在已经停止工作了,所以有些东西改变了。 有关这可能是什么的想法,或者我们如何解决问题? 提前致谢。
我刚刚完成了一个Go Go代码的Go代码的编码。 我想把nginx放在它的前面(我需要在一个子目录中提供静态文件),但是注意到req / sec和延迟急剧下降(从11K req / sec到1.5k req / sec)。 我的nginxconfiguration有什么问题吗? (我在Mac上进行testing,如果这有所作为) worker_processes 4; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; tcp_nopush on; keepalive_timeout 65; gzip on; include sites/*.conf; } 和我的服务器configuration: server { listen 80; server_name go.dev; charset utf-8; root /www; location /favicon.ico { return 404; } location […]
所以我们有一个nginx代理caching,即使在npm停机的情况下也可以保持正常运行。 有时这个服务器(显然每隔几个月)就开始为某个特定的软件包返回400 bad request 。 我认为这是一个损坏的caching或什么的。 所以我们擦拭caching,然后我们可以再次npm install 。 我们试着简单的重启服务器,但结果还不够。 值得一提的是,对于同一个对象(即tar.gz文件),实际的源代码(npm本身)会返回200OK。 这里是configuration: https : //github.com/parris/private-npm-registry/blob/master/nginx/server.conf (随时探索周围的文件)。 configuration看起来像这样: server { listen 8888; server_name localhost; location / { proxy_pass https://registry.npmjs.org/; proxy_cache npm; proxy_cache_valid 200 302 3d; proxy_cache_valid 404 1m; # npm adds "_resolved": 'registry.npmjs.org/xyz.tgz" to package.json files # this rewrites things correctly sub_filter 'registry.npmjs.org' 'localhost:8888'; sub_filter_once off; […]
我有一个PKI树,Ironport是PKI树第二级的CA(用于颁发HTTPS检查证书) 尽pipe我将根证书部署到所有客户端,并且chrome / IE能正常工作,但Firefox仍维护着独立于Windows的证书存储。 我只想要求服务台将Root证书导入,而不是将Ironport中间证书导入Firefox信任的存储区。 我假设这里的问题类似于其他网站问题,其中设备不发送“链接/链接”证书(例如发送与HTTPSstream内联的根证书) 由于Ironport用户界面只允许导入PEM格式的证书,有什么办法可以让IronPort将整个HTTPS公共链发送给浏览器,而不仅仅是最后一英里的证书吗?