服务器 Gind.cn

Articles of stunnel

不合理的缓慢的通道

我在OSX上设置stunnel来将stream量传送到我的Django dev服务器,因为Facebook现在需要HTTPS,但是我注意到这是非常慢的。 它似乎一次只能处理一个连接,甚至连接到本地主机时连接速度都很慢。 我试过在网上find一些性能提示,所以我的configuration设置为: pid= # foreground=yes cert=./cacert.pem key=./privkey.pem libwrap=no debug=0 socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 [https] accept=8443 connect=8000 有没有办法获得更多的性能或更适合的方式来设置我的开发服务器的HTTPS?

Stunnel延迟引导

当插入networking时,我的stunnel实现工作正常,但是这需要很长的时间,这延迟了整个启动过程,当没有networking连接到机器时。 作为额外的信息: 我正在使用“延迟=是” 我正在使用fqdn(例如:stunnel.mydomain.com)进行连接 使用Ubuntu,但这也发生在centos5之前 如何避免这种情况,或者指定超时? 编辑 :按照symcbean的build议做一个strace显示以下内容(包括挂起的最后部分): […] — SIGCHLD (Child exited) @ 0 (0) — rt_sigreturn(0x11) = 0 close(3) = 0 wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 6039 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7ff9ce0c79d0) = 6046 wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 6046 — SIGCHLD (Child exited) @ 0 (0) […]

stunnel Haproxy ldap身份validation

在我们的设置端口433由stunnel处理。 之后,haproxy将把请求发送到适当的后端。 我设法在haproxy中启用身份validation。 但是用户和密码都在haproxy.conf文件中。 有没有办法在haproxy或stunnel中启用ldap身份validation?

Keepalived,Junos和ARPcaching

我正在尝试在Keepalived的帮助下,在我们公司的数据中心configuration一个主动 – 被动的stunnel设置。 我想知道是否build议在下列情况下使用路由器或交换机重新configuration。 我目前在两个CentOS 6盒中都有一个确认工作安装的stunnel ,它将连接代理到另一个(内部)服务器上的testing页。 我基于本教程的configuration。 (我已经编辑了eth1设备上存在的外部虚拟IP,以保护无辜者)。 # Box 1 (primary) vrrp_script chk_stunnel { # Requires keepalived-1.1.13 script "killall -0 stunnel" # cheaper than pidof interval 2 # check every 2 seconds weight 2 # add 2 points of prio if OK } vrrp_instance stunnel_cluster { state MASTER interface eth0 virtual_router_id 51 priority […]

stunnel:redirectHTTPstream量到HTTPS

stunnel有可能检测到非SSL请求并发出redirect到HTTPS URL吗? 或者,也许有可能让stunnel标记这些请求,让底层的应用程序发出redirect? 还是有另一种可以做到这一点的stunnel? 编辑 :事实certificate,我实际上正在寻找一个轻量级的HTTPS代理,可以做到上述的事情。

在Windows上使用stunnel连接到Amazon RDS时出现问题

我试图设置一个本地pgbouncer服务器,然后使用SSL连接到Amazon的PostgreSQL RDS服务。 根据pgbouncer的文档,你需要使用类似stunnel的东西来连接。 我有一个时间得到stunnelconfiguration。 我可以看到它正在接受客户端的连接,但是拒绝连接到RDS实例: SSL警报(读取):致命:未知的CA 也许我错误的部分是将CAFile指向Amazon提供的“rds-ssl-ca-cert.pem”证书。 它确实似乎正在加载它: 已加载从rds-ssl-ca-cert.pemvalidation证书加载的rds-ssl-ca-cert.pem撤消查找文件 连接时我看到: 2013.11.26 10:47:09 LOG7[3552:4032]: Starting certificate verification: depth=1, /C=US/ST=Washington/L=Seattle/O=Amazon.com/OU=RDS/CN=aws.amazon.com/rds/ 2013.11.26 10:47:09 LOG5[3552:4032]: Certificate accepted: depth=1, /C=US/ST=Washington/L=Seattle/O=Amazon.com/OU=RDS/CN=aws.amazon.com/rds/ 2013.11.26 10:47:09 LOG7[3552:4032]: Starting certificate verification: depth=0, /CN=aws.amazon.com/rds//OU=RDS/O=Amazon.com/L=Seattle/ST=Washington/C=US 2013.11.26 10:47:09 LOG5[3552:4032]: Certificate accepted: depth=0, /CN=aws.amazon.com/rds//OU=RDS/O=Amazon.com/L=Seattle/ST=Washington/C=US 它实际上是亚马逊的RDS拒绝我的证书吗?

Stunnel只针对特定的域名

我正在configurationstunnel来将SSL请求封装到Haproxy。 Haproxy在同一IP地址上提供多个站点: domain.com – Website app.domain.com – Node.js webserver 我获得了只对网站app.domain.com有效的SSL证书。 我想configurationstunnel接受请愿以: https://app.domain.com 不要请愿: https://domain.com 问题是,如果有人试图joinhttps: //domain.com,stunnel封装了app.domain.com证书(当然这对于这个域是无效的)。 我在stunnel.conf中试过这样的东西: pid = /var/run/stunnel.pid output = /var/log/stunnel.log [https] cert = /etc/ssl/certs/app.domain.crt key = /etc/ssl/private/app.domain.key sni = https:app.domain.com accept = 443 connect = 80 但是当我试图开始stunnel我得到: Line 10: End of section https: Each service must define two endpoints str_stats: 112 block(s), […]

如何更新stunnel上的重新生成的证书?

我已经使用GoDaddy证书configuration了stunnel,并且工作正常。 由于某些情况,我需要重新签名证书并更新负载均衡器上的pem文件。 在更新pem文件后,certificate证书状态被吊销。 我已经检查了这个GoDaddy,他们说,没有任何错误的证书。 我还使用了一些工具来validation已安装的证书,并注意到原始证书仍被识别。 Stunnel上或负载平衡器中是否有任何caching机制保留原始数据? 是否有任何额外的步骤更新stunnel上的证书? 我使用这个准则build立通道: http : //help.cloud66.com/how-to/ssl-termination-on-load-balancers.html

stunnel可以被用来循环TCP连接没有SSL?

今天,我已经使用stunnel为一组TCP服务提供了SSL终止,在这些TCP服务中,连接是循环的,例如这样做: [myserv] accept = 443 connect = 9274 connect = 9275 connect = 9276 connect = 9277 我想做同样的事情,但是在接受端口不提供SSL终止的情况下,它只是将接受的连接循环到后端服务。 我想知道是否有一种方法可以做到这一点与stunnel,或者如果有类似的Linux服务,可以做到这一点。

两台主机之间的Syslog-ng和Stunnel(连接被拒绝)

我想在我的LAN上的主机和我的DMZ中的主机之间设置syslog-ng,但不能完全弄清楚configuration。 stunnelconfiguration似乎是正确的。 如果我在两台机器上closures了系统日志,我可以在dmzhost上运行nc -l 5140 ,并使用telnet通过LAN端的通道连接。 在任何一个连接上键入文本都会在两台机器上回显。 当我在任一台机器上启动syslog-ng时,出现有关已经使用的地址和连接被拒绝的错误(111) 。 我读过stunnel需要在syslog-ng之前启动,但似乎并不重要,因为它无法通过任何方式。 我试图用下面的configuration来澄清。 有什么想法吗? 局域网日志服务器(stunnel) # /etc/stunnel/dmz.conf client = yes cert = /etc/stunnel/dmz/stunnel.pem pid = /var/run/stunnel4/dmz.pid [lan] # connect port 55514 on the remote end to LAN localhost on port 5140 connect = dmzhost.ip.addr:55514 accept = 127.0.0.1:5140 局域网syslog-ngconfiguration # /etc/syslog-ng/syslog-ng.conf # dump data from port 5140 to […]
Intereting Posts
Samba AD将不同的权限分配给相同的共享 用telnet连接打开端口testing 在Apple / Mac / Leopard中使用Internet连接共享的入站连接 如何防止SYS的远程login 虚拟PC – 将物理PC移动到虚拟环境中 在你的VPS服务器已经“build成”之后,你应该做的最重要的事情是什么? OpenVPN的Linux IP转发 – 正确的防火墙设置? WSUS客户端无法获取错误80072EE2的更新 虚拟Web服务器和交换服务器之间的路由问题 科学Linux的远程重新安装 正好90秒重新启动Apache httpd 什么是“所有落入默认规则的数据包都应该被丢弃”是什么意思? 如何通过SSSD AD提供程序限制用户访问? 如何在Google计算引擎上添加静态路由 postfix reject_rbl_client:客户端或收件人限制?