0

1つのIP/ポートに配置してLablzWebサーバーとSSLVPNAdito(SSL Explorerフォーク)の両方を前面に出すには、リバースプロキシが必要です。Nginxでそれを達成できませんでした。Aditoを汎用リバースHTTPプロキシとして使用できませんでした。

HAProxyは、HTTPトラフィックを検知しない場合、TCPプロキシにフォールバックできますか?言い換えると、レイヤー7の検査でこれがHTTPトラフィックではないと判断された場合、レイヤー4にフォールバックできますか?

これが私の設定です

  • 1つのパブリックIP(Elastic IP)を備えたEC2マシン。
  • 開いているポートは1つだけです-443。
  • Stunnelは443上にあり、トラフィックをHAProxyに渡します(Stunnelを使用するのは好きではありませんが、Nginxとは異なり、HAProxyはまだSSLを完全にサポートしていません)。
  • HAProxyは、一部のHTTPトラフィックを1つのサーバー(SVNサーバーの前にあるApacheサーバー)に渡し、残りのHTTPトラフィックをLablz Web/Appサーバーに渡すように構成する必要があります。
  • HTTP以外のすべてのトラフィックは、AditoVPNに転送する必要があります。
    • このトラフィックは次のとおりです。
      • VNC、NX、SMB
      • ...およびAditoがサポートする他のすべてのプロトコル

トラフィックをHTTPと非HTTPに分割するために送信元IPアドレスまたはポートに依存することはできません。

それで、そのような設定はHAProxyで実行できますか?これに他のリバースプロキシを使用できますか?私がHAProxyについて正しく考えておらず、別のアプローチが可能かどうかを教えてください。

ところで、Adito SSL VPNは素晴らしく、このセットアップが機能すれば、Lablz開発者にクラウド内のボックスへの素晴らしいワンクリックシングルログインの安全なVNC-over-HTTPSアクセスを提供できるようになります。

これに対する解決策はありませんが、Aditoを介して-私が間違っていることを証明してください。ただし、VNCoverSSHの方が優れているとは言わないでください。はい、VNC-over-SSHはより高速で安全ですが、(ターゲットユーザーベースにとって)セットアップがはるかに難しく、ユーザーがポート22でのアウトバウンドトラフィックを許可するファイアウォールの背後にいると想定します(常にそうであるとは限りません)。

その上、Aditoはリモートアクセスゲートウェイをはるかに超えています-それは本格的なブラウザ内VPN、ソフトウェアディストリビューションプラットフォームなどです。私はAditoの人とは関係がありません-Lablzブログの私のAditoの投稿を参照してください。

4

1 に答える 1

0

OK、まず、単純なファイアウォールを使用して、すべての HTTP を非 HTTP トラフィックから分離します。必要なのは、入ってくるものが何であるかを把握するためのパケット検査です。

haproxy も nginx もそれを行うことはできません。どちらもWebトラフィック用に作成されており、トラフィックを調べて、何を扱っているかを推測する方法がわかりません。

更新:これを少し調べたところ、iptablesを使用すると、おそらく文字列マッチングを使用してトラフィックを分割できました。ただし、特に暗号化された性質では、それはすべて注意が必要です。私の友人がl7-filterを発見しました。これは必要なもののようです。これが役立つかどうか教えてください。

于 2009-04-28T12:34:08.797 に答える