V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fongya
V2EX  ›  问与答

请教一个关于隐藏源站 IP 的办法

  •  
  •   fongya · 185 天前 · 1149 次点击
    这是一个创建于 185 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我设置了 nginx 的白名单只允许 cdn 回源,并且修改了默认站。然后非 cdn ip 携带 host 信息访问源站 443 时会返回设置的证书。现在不知道怎么样去搞了,暂时把证书给下了。 现在想到的办法是修改 iptables 这样的系统级的防火墙,去修改 80 和 443 端口可访问的 IP 。不过我使用的 cdn 和机器上的站点比较杂,所有没用这个。 还有就是在 nginx 的配置中使用 map 和 ssl_reject_handshake 这样去匹配,匹配不到的就 ssl_reject_handshake 。 还想问问还有没有其他办法了,各位大佬

    9 条回复    2024-06-25 11:18:09 +08:00
    viWww0vvxmolvY5p
        1
    viWww0vvxmolvY5p  
       185 天前
    蹲一个大佬
    JensenQian
        2
    JensenQian  
       185 天前 via Android
    ipv6 回源+cf
    caola
        3
    caola  
       185 天前
    可以使用 nginx+lua 或 openresty , https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ssl.md
    以前我用过,把 SSL 放到 redis 里,再用 nginx+lua 来自定义加载 SSL 证书,https://github.com/openresty/lua-redis-parser
    nginx+lua 可以干很多事件的,甚至直接用来写 web 都没有问题
    IvanLi127
        4
    IvanLi127  
       185 天前
    这意思是 nginx 收到没匹配中的主机名时会吐现有的证书出去?怎么感觉有点离谱😱我是不是理解错了
    ShinichiYao
        5
    ShinichiYao  
       184 天前
    防火墙只允许 CDN 的 IP ,别的 IP 拒绝访问
    fongya
        6
    fongya  
    OP
       184 天前 via Android
    @IvanLi127 是收到匹配的 host 后不管 ip 在不在白名单里都会返回证书信息
    fongya
        7
    fongya  
    OP
       184 天前 via Android
    @caola 好厉害的感觉,等我研究研究
    IvanLi127
        8
    IvanLi127  
       184 天前
    @fongya CDN 支持自定义回源 SNI ,那理论上回源的域名只要足够长,别人猜不到是不是就能解决了?
    Hozoy
        9
    Hozoy  
       184 天前
    自定义回源 SNI 就行了吧。。我设置的 SNI 都是一些不存在的乱码域名,然后 nginx 设置 ssl_reject_handshake on 就可以了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1005 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:09 · PVG 05:09 · LAX 13:09 · JFK 16:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.