使用 HAProxy 通过 https 建立 SSH 隧道

2024-5-25 • tag-icon

我有一台带有 Apache Web 服务器的服务器，并且许多网站在 http（端口 80）和 https（端口 443）上运行。我想在 Apache 和用户之间使用端口 443 上的代理。在这一页，有一个关于如何操作的教程。这听起来很奇特，因为它会自动检测传入连接是否是 SSH，如果是，它会自动将其转发到端口 22。

/etc/haproxy/haproxy.cfg我已经按照该链接中提到的方式配置了我的 HAProxy 。以下是我的配置文件：

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /etc/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
#       ca-base /etc/ssl/certs
#       crt-base /etc/ssl/private
        ca-base /home/myuser/SSL/
        crt-base /home/myuser/SSL/

        # Default ciphers to use on SSL-enabled listening sockets.
        # For more information, see ciphers(1SSL). This list is from:
        #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3

        tune.ssl.default-dh-param 2048


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http

backend secure_http
    reqadd X-Forwarded-Proto:\ https
    rspadd Strict-Transport-Security:\ max-age=31536000
    mode http
    option httplog
    option forwardfor
    server local_http_server 127.0.0.1:80

backend ssh
    mode tcp
    option tcplog
    server ssh 127.0.0.1:22
    timeout server 2h

frontend ssl
    bind 0.0.0.0:443 ssl crt /home/myuser/SSL/certs.pem no-sslv3
    mode tcp
    option tcplog
    tcp-request inspect-delay 5s
    tcp-request content accept if HTTP
    acl client_attempts_ssh payload(0,7) -m bin 5353482d322e30
    use_backend ssh if !HTTP
    use_backend ssh if client_attempts_ssh
    use_backend secure_http if HTTP

问题：

本教程显然假设 Apache 未使用端口 443，其中 HAProxy 绑定到此端口，并接收来自用户的安全连接。这意味着我必须更改 Apache 配置中的很多内容，以使网络服务器上的所有网站都使用端口 80 而不是 443，并在虚拟主机中禁用 SSL 引擎。我想避免这种情况！

那么有没有一种方法可以对我的 Apache 配置进行最小的更改（例如，只需将端口 443 更改为其他端口），然后让 HAProxy 将连接转发到 Apache（如果不是 SSH）？

如果您需要更多详细信息，请询问。

答案1

您必须在其他端口上设置 apache。

互联网-(443) ---- (443)-HAP-|-----(22) SSH

                          |-----(Other port ex 8443) apache

否则使用 sslh，适用于 https、ssh、xmpp。

答案1

相关内容