什麼程式能做基於 TLS 的 TCP 代理?

2022-02-18 18:11:18 +08:00
 viberconnection
提問背景:
有一郵件伺服器,訪問其對應 port 會發現直接返回主域名 TLS 證書。這樣就會有些安全問題(例如被網路測繪服務掃到從而永久編入數據庫、遭遇無目標的 DDOS 等)。由於伺服器安裝時間久遠,軟體部份無法直接升級,所以就無法實現類似於 Nginx 那樣的防護方式。因此就想到了接收郵件時在前面加前置代理這樣的操作。

想問的問題:
什麼軟體可以做基於 TLS 名稱的前置代理?就是想實現使用到了正確的網域名稱就正常運作,如果不正確就直接斷開連線的效果。


其他電郵服務<------->前置代理<------->自有電郵服務器
2652 次点击
所在节点    Linux
6 条回复
ysc3839
2022-02-18 18:17:27 +08:00
nginx 有 ssl_reject_handshake
gadfly3173
2022-02-18 18:22:10 +08:00
参考 https://zinglix.xyz/2021/10/04/nginx-ssl-reject-handshake/ 万物皆可 nginx
zhyl
2022-02-18 18:24:01 +08:00
haproxy SNI 代理
wevsty
2022-02-18 18:34:32 +08:00
按照你的描述,你可能想要的是 TLS SNI Proxy ,我认为只是 SNI Proxy 的话 nginx 就可以完成,Google 一下这个关键词也会有很多其他的选择。

但是我认为你的这个需求是不必要的。
如果有人找到你这个域名对应的服务器根本不需要全网扫描端口获取证书中标识的域名,只需要直接解析邮件对应的域名就可以找到了。
邮件服务器的地址本来就是要让人知道的,不然人家怎么给你的服务器发邮件,为什么要防止人家知道你的服务器对应的域名是什么呢?
viberconnection
2022-02-18 18:51:50 +08:00
@wevsty 對,就是這樣子。基於名稱。

伺服器不打算直接對外開放(無法直接連結),在 mx 記錄中設定前置代理的 IP 位址。其實這麼做還有一個目的就是 DDOS 防護了。
wevsty
2022-02-18 19:01:45 +08:00
@viberconnection
设置前置服务器预防 DDOS 当然是可以,但是依然没有必要做 SNI Proxy ,普通的端口 Proxy 就行了,后端服务器通过防火墙设置仅允许前置服务器访问即可。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/834873

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX