我试图挂钩stunnel和haproxy转发https连接到一些后端服务器。 我有haproxy设置正确,我似乎有stunnel设置正确。 麻烦的是,当我打开负载testing的设置后,我开始看到这些日志条目(我已经包括正确的连接的最后几个条目之前,我开始得到连接拒绝错误): 2010.05.05 11:23:29 LOG7[3498:3086792368]: https accepted FD=510 from 10.195.158.225:42722 2010.05.05 11:23:29 LOG7[3498:3035233168]: https started 2010.05.05 11:23:29 LOG7[3498:3035233168]: FD 510 in non-blocking mode 2010.05.05 11:23:29 LOG7[3498:3035233168]: TCP_NODELAY option set on local socket 2010.05.05 11:23:29 LOG7[3498:3035233168]: Waiting for a libwrap process 2010.05.05 11:23:29 LOG7[3498:3086792368]: https accepted FD=511 from 10.195.158.225:42723 2010.05.05 11:23:29 LOG7[3498:3035167632]: https started 2010.05.05 […]
我如何configurationstunnel以获得SSL连接,然后连接到不同服务器上的SSL端口? 这是我的设置: 我们的ISP服务器“邮件服务器”支持SSL上的smtp / imap。 (不是starttls,只是在ssl上) 但是,我有一大堆只信任特定的内部根证书的客户端机器。 因此,他们无法连接到“邮件服务器”。 对于这些客户端机器,我想制作一个专用的“邮件隧道”主机,使用stunnel通过内部签名的SSL证书进行收听,然后使用第二个SSL连接将数据转发到“邮件服务器”。 可以这样做吗? Ubuntu Server 10.10的具体步骤是什么? (我不太熟悉持久的服务configuration。) 谢谢
我正在设置HAProxy来在两个Web服务器之间进行负载平衡。 网站上的一些页面需要SSL。 Stunnel正在处理https连接并将它们传递给haproxy(Stunnel包含证书)。 HAProxy将使用http将请求传递给Web服务器。 在内部networking中包含Web服务器和haproxy是否足以符合PCI? 有什么需要注意的吗?
我正在创build一个可以在NAT或任何防火墙后面部署的安全“保pipe箱”,呼叫一个受控制的可公开访问的服务器,然后从服务器启动控制。 我知道这很容易用ssh -R命令完成,但是,我正在寻找一些能够通过适当的SSL / TLS和端口443有效避开IDS / IPS的东西。 目前我的设置工作(只SSL)有我的Dropbox(我们将这个客户端)调用,并启动与服务器的stunnel连接。 然后我可以从客户端手动ssh到服务器。 这很好,但是,我需要能够通过build立的stunnel从服务器ssh到客户端。 问题: 我可以通过现有的stunnel连接(由客户端发起的stunnel)直接从服务器ssh。 这可能需要一个stunnelconfiguration更改,我只是有点失去了我应该改变。 我可以通过stunnel从客户端反向SSH隧道到服务器,以便服务器有一个本地端口ssh回到客户端? 如果是这样,我一直无法得到ssh -R命令正常工作,因为我想我最终创build一个循环。 以下是我的stunnelconfiguration: 服务器: cert=/path/to/cert.pem pid=/tmp/stunnel.pid [ssh] accept = 443 connect = 127.0.0.1:22 客户: cert=/path/to/cert.pem pid=/tmp/stunnel.pid client=yes [ssh] accept=2200 connect=<serverpubip>:443 示例SSH命令尝试通过通道连接从客户端到服务器进行反向: ssh -i /path/to/cert -R 2200:localhost:2200 -p 2200 admin@localhost -f -N 请记住,要求是只有客户端可以调用服务器来启动初始连接(stunnel),并且stream量必须通过格式良好的SSL / TLSencryption。 我还需要从服务器获得对客户端的shell访问权限。 提前致谢! 更新: 它最终是一个糟糕的SSH命令。 这对我工作的ssh命令是: ssh -i […]
我正在考虑将负载平衡器引入到我现有的站点基础架构中,以帮助增加stream量并提供一定程度的故障保护。 我正在运行的网站使用SSL证书作为login部分,我将需要继续使用此function。 后端服务器将需要知道始发IP地址,所以我不能使用TCP负载平衡function,将需要在负载均衡器上终止SSL,所以我可以插入一个 X – 转发,对于 头。 我见过一些使用stunnel实现SSL解密function的方法,另一种使用了Pound方法。 我一直在环顾四周,但是我不确定使用哪一个的优点/缺点。 有没有人有这方面的经验,并提供他们的build议? 谢谢
我生成了一个SSL证书,如stunnel的答案中所指定的那样:SSL-to-SSL? (用于smtp / imap)并具有以下configuration文件: cert = /home/marshall/stunnels/certs/umistunnel.keys ; protocol version (all, SSLv2, SSLv3, TLSv1) sslVersion = SSLv3 pid = ./stunnel4.pid [https] accept = 4433 connect = 3000 当我跑步 > stunnel config.conf 我得到的错误是: Reading configuration from descriptor 3 Snagged 64 random bytes from /home/marshall/.rnd Wrote 1024 new random bytes to /home/marshall/.rnd PRNG seeded successfully Line 1: […]
这是我的情况:有一些开发人员都需要有权访问从远程来源安装ruby和python蛋。 目前,我们的防火墙内有一台服务器,用于承载gem和鸡蛋。 我们现在希望能够在我们的防火墙之外安装托pipe在该服务器上的东西。 由于我们所拥有的一些gem和鸡蛋是专有的,我希望稍微locking一下机器的访问权限,尽可能地向开发者隐瞒。 我的第一个想法是使用类似ssh键的东西。 所以,我花了一些时间来看SSL的相互authentication。 我能够使所有设置正常工作,用curl进行testing,但不幸的是我必须传递额外的参数来curl,以便知道证书,密钥和证书的权限。 我想知道是否有类似ssh代理的东西可以自动提供这些信息,以便我可以将证书和密钥推送给开发人员的机器,这样开发人员无需每次都login或提供密钥尝试安装一些东西。 另一件我想避免的是,当他们进行http连接时,必须修改'gem'命令和'pip'命令来提供密钥。 任何其他可能解决此问题的build议(不涉及ssl相互身份validation)也是受欢迎的。 编辑:我一直在继续研究这个,我遇到了stunnel 。 我认为这可能是我正在寻找的,任何关于stunnel的反馈也将是伟大的!
我已经购买了两个PositiveSSL证书(单独),一个用于manager.domain.com,另一个用于domain.com。 最初我只需要使用SSL的manager.domain.com,但比我需要在domain.com上使用SSL。 一切工作正常与domain.manager.com的一个SSL证书,但是当我将第二个证书数据添加到.pem文件,domain.com尝试使用domain.com的证书进行validation,并且它不起作用。 我怎样才能有两个ssl证书使用同样的stunnel instanse? 我有趣的nginx和清漆,如果这是有用的。 这里是stunnelconfiguration文件和我的pem文件的格式。 注意 – 这对于domain.manager.com(这是第一个证书)可以正常工作。 cert = /etc/ssl/all.pem debug = 5 output = /var/log/stunnel4/stunnel.log [https] accept = 443 connect = 80 和all.pem的格式。 第一个证书是为manager.domain.com(其工作),第二个为domain.com,这是行不通的。 (私人密钥是用manager.domain.com生成的): —–BEGIN PRIVATE KEY—– MIIEvwIBADANBgkahkiG9w0BAQEFAASCBKkwggSl444AAoIBAQDz/pbylQ5Ci6ji END PRIVATE KEY—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– 我也尝试分离证书,并把它们放入CApath CApath = /etc/stunnel/certs/ debug = 5 output = […]
我熟悉stunnel.conf,我知道如何指定它侦听哪个未encryption的端口,以及它redirect到哪个encryption的端口,但是我想知道它是如何从监听的服务器上“抓取”数据包相同的未encryption的端口。 也就是说,如果我有一个数据库客户希望通过未encryption的端口777进行通信,并且数据库服务器通常在该端口上侦听并与客户端进行通信。 现在我需要stunnel接pipe,所以我在客户端和服务器端运行stunnel,监听端口777并将stream量redirect到encryption的端口8888.现在客户端不知道stunnel,它通过端口777保持通信,但是stunnel和数据库服务器都在端口777上侦听…那么stunnel 如何在客户端数据包到达数据库服务器之前抢夺数据包呢?
我在Windows XP上设置了一个stunnel服务器,当客户端试图访问时,我得到这个错误: 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 00:02:16 LOG7[8848:9792]: SSL alert (write): fatal: handshake […]