什麼程式能做基於 TLS 的 TCP 代理?
viberconnection · 2022-02-18 18:11:18 +08:00 via Android · 2645 次点击这是一个创建于 789 天前的主题,其中的信息可能已经有所发展或是发生改变。
提問背景:
有一郵件伺服器,訪問其對應 port 會發現直接返回主域名 TLS 證書。這樣就會有些安全問題(例如被網路測繪服務掃到從而永久編入數據庫、遭遇無目標的 DDOS 等)。由於伺服器安裝時間久遠,軟體部份無法直接升級,所以就無法實現類似於 Nginx 那樣的防護方式。因此就想到了接收郵件時在前面加前置代理這樣的操作。
想問的問題:
什麼軟體可以做基於 TLS 名稱的前置代理?就是想實現使用到了正確的網域名稱就正常運作,如果不正確就直接斷開連線的效果。
其他電郵服務<------->前置代理<------->自有電郵服務器
有一郵件伺服器,訪問其對應 port 會發現直接返回主域名 TLS 證書。這樣就會有些安全問題(例如被網路測繪服務掃到從而永久編入數據庫、遭遇無目標的 DDOS 等)。由於伺服器安裝時間久遠,軟體部份無法直接升級,所以就無法實現類似於 Nginx 那樣的防護方式。因此就想到了接收郵件時在前面加前置代理這樣的操作。
想問的問題:
什麼軟體可以做基於 TLS 名稱的前置代理?就是想實現使用到了正確的網域名稱就正常運作,如果不正確就直接斷開連線的效果。
其他電郵服務<------->前置代理<------->自有電郵服務器
 |
1
ysc3839 2022-02-18 18:17:27 +08:00 via Android  1
nginx 有 ssl_reject_handshake
|
 |
2
gadfly3173 2022-02-18 18:22:10 +08:00
|
 |
3
zhyl 2022-02-18 18:24:01 +08:00
haproxy SNI 代理
|
 |
4
wevsty 2022-02-18 18:34:32 +08:00
按照你的描述,你可能想要的是 TLS SNI Proxy ,我认为只是 SNI Proxy 的话 nginx 就可以完成,Google 一下这个关键词也会有很多其他的选择。
但是我认为你的这个需求是不必要的。 如果有人找到你这个域名对应的服务器根本不需要全网扫描端口获取证书中标识的域名,只需要直接解析邮件对应的域名就可以找到了。 邮件服务器的地址本来就是要让人知道的,不然人家怎么给你的服务器发邮件,为什么要防止人家知道你的服务器对应的域名是什么呢? |
 |
5
viberconnection OP |
|
6
wevsty 2022-02-18 19:01:45 +08:00
@viberconnection
设置前置服务器预防 DDOS 当然是可以,但是依然没有必要做 SNI Proxy ,普通的端口 Proxy 就行了,后端服务器通过防火墙设置仅允许前置服务器访问即可。 |
Select Language