問題タブ [stunnel]

stunnelサーバーはstunnelクライアントなしで動作できますか？つまり、HTTPのみを使用して独自のhttpサーバーを作成し、Stunnelサーバーを介してSSLサポートを追加できますか？クライアントはsslを使用して独自のクライアントプログラムでstunnelサーバーに接続しますか？ありがとう。

Is it possible to configure a piwik installation to use one database server for writing and one for reading? And if so, how?

私はMacOSX-SnowLeopardを使用しています。そして、CVSに接続するには、stunnelを開始する必要があります。

いつも「ターミナル」に行って書く必要があります

わからないので、私の質問は次のとおりです。MacOS Xが起動するたびに、このコマンドを自動的に作成するにはどうすればよいですか。または、この場合、スーパーユーザーモードでプログラムを起動しますか？

なにか提案を？

クライアントマシンが接続するサーバーがあります。最近、接続を stunnel で暗号化することにしたので、クライアント プログラムはサーバーに直接接続するのではなく、localhost:8045 に接続します (確認したところ、このポートは占有されていません)。

Java コード:

そして、私は次のようになります：

を使用して同じページをリクエストしようとするとcurl、すべて問題ありません。

このような動作の原因は何ですか?

編集:はい、リスニングソケットがあります-実行すると次のようになりnetstat -avn | grep 8045ます:

winsock を使用してチャンクされた HTTP 応答データを読み取ることができません。リクエストを送信すると、次のものが返されます。

winsock recv を使用します。ただし、この時点ではハングするだけです。無限ループでリスナーを実行していますが、何も取得されません。

これはC++の問題だと思いますが、stunnelを介して接続をプッシュしてHTTPS内にラップするという事実にも関連している可能性があります。stunnel を介して完全に動作する C# のライブラリを使用したテスト アプリケーションがあります。最初の recv の後にループが C++ のチャンク データを受信しない理由がわかりません。

これが問題のループです...上記のチャンクされたok応答の後に呼び出されます...

何か案は？

Win7のクリーンインストールでstunnelを実行しようとしていますが、次のエラーが発生しています。

どういう意味ですか？
クリーンインストールで表示されるのはなぜですか？

更新：
4.49から4.46に切り替えたところ、問題は解消されました。おそらく、それは新しいstunnelリリースのバグです。出会った人なら誰でもわかるように、この投稿は残しておきます。

ポート 8081 でリッスンする Web サービスがあります (それが役立つ場合は、mono で実行されている ServiceStack REST Web サービスです)。stunnel を使用して保護しようとしていますが、問題はhttps://ipに接続するとすぐにhttp://ip:8081にリダイレクトされることです。これは意味がありません。誰かが私を方向に向けることができますか？私の stunnel 設定ファイルは次のとおりです。

stunnelに特定のアウトバウンドIPアドレスを指定する方法はありますか？現在は常にサーバーのメインIPを使用していますが、特定のアウトバウンドIPアドレスを使用したいと思います。

私は最近、小さな EC2 インスタンス (m1.small) で 1 秒あたり約 2,000 の新しい接続要求を処理することがテストされている Node.js ベースの Web ソケット サーバーをセットアップしました。m1.small インスタンスのコストと、複数のインスタンスを HAProxy などの WebSocket 対応プロキシ サーバーの背後に置く機能を考慮すると、結果には非常に満足しています。

ただし、SSL を使用したテストをまだ行っていないことに気付き、いくつかの SSL オプションを調べました。プロキシ サーバーで SSL 接続を終了することが理想的であることが明らかになりました。これは、プロキシ サーバーがトラフィックを検査し、X-Forward-For などのヘッダーを挿入して、サーバーが要求の送信元の IP を認識できるようにするためです。

そこで、私は Pound、stunnel、スタッドなどの多くのソリューションを調べました。これらはすべて、443 で着信接続を終了できるようにし、ポート 80 で HAProxy に渡し、次に接続を Web サーバーに渡します。しかし残念なことに、c1.medium (高 CPU) インスタンス上の SSL ターミネーション プロキシ サーバーにトラフィックを送信すると、すべての CPU リソースが非常に速く消費され、1 秒あたり 50 リクエスト程度しか消費されないことがわかりました。上記の 3 つのソリューションをすべて使用してみましたが、いずれも OpenSSL に依存していると思われるのとほぼ同じように動作しました。64 ビットの非常に大きな High CPU インスタンス (c1.xlarge) を使用してみましたが、パフォーマンスはコストに比例してしか変化しないことがわかりました。したがって、EC2 の料金に基づくと、1 秒あたり 200 件の SSL リクエストに対して約 600 ペンス/月を支払う必要があります。1 秒あたり 000 件の非 SSL リクエスト。1 秒あたり 1,000 または 10,000 のリクエストを受け入れることを計画し始めると、前者の価格は経済的にすぐに実行不可能になります。

また、Node.js の https サーバーを使用して SSL を終了しようとしましたが、パフォーマンスは Pound、stunnel、およびスタッドと非常に似ていたため、そのアプローチに対する明らかな利点はありません。

だから私が誰かに助けてもらいたいのは、SSL接続を提供するために吸収しなければならないこのばかげたコストを回避する方法をアドバイスすることです. ハードウェアは SSL の暗号化と復号化用に設計されているため、SSL ハードウェア アクセラレータのほうがはるかに優れたパフォーマンスを提供すると聞いていますが、現在すべてのサーバーに Amazon EC2 を使用しているため、個別のデータがない限り、SSL ハードウェア アクセラレータを使用することはできません。物理サーバーを備えたセンター。私は、Amazon、Google、Facebook などの企業が SSL 経由ですべてのトラフィックを提供する方法を理解するのに苦労しています。SSL のコストが非常に高い場合です。そこにはもっと良い解決策があるはずです。

アドバイスやアイデアをいただければ幸いです。

ありがとうマット

<connector>server.xml ファイルのタグの設定により、ポート 8443 での https アクセスが有効になっている tomcat6 サーバーがあります。以下に示すとおりです。

Java コード経由でこのサーバーを使用して、リモート マシンで https を使用してポート 8443 にアクセスしようとしています。java.net.ConnectException: Connection refusedcatalina.out ログを取得しています。この例外はconnection.getResponseCode();、Java コードの行で生成されます。リモート マシンでポートが開いていないようです。サーバー自体のポート 8443 に例外なくアクセスできます。リモート マシンに tomcat がインストールされていません。

Javaコードによるhttpsアクセスのために、リモートマシンでそのポートを開きたいです。サーバーとリモートマシンの両方としてubuntuサーバー10.04 LTSを使用しています。ファイアウォール (制限により ufw または iptables) を使用できません。両方のマシンで stunnel4 を使用できます。