V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alwayshere
V2EX  ›  程序员

为了避免被攻击者找到真实的服务器 ip,怎样在前端套一台服务器?

  •  
  •   alwayshere · 2018-11-30 09:08:29 +08:00 · 6778 次点击
    这是一个创建于 2170 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前套了 CF,但是还是担心暴露服务器真实 ip,想把这台真实的服务器隐藏在后面,所有的 http 请求和传输流量全部用一台前台服务器接收和发送,有没有一种开源的软件可以实现这个请求,相当于一台前台服务器罩在这台服务器前面处理所有流量,起到一个“传话筒”的作用,保护后台服务器不被泄漏,所有的逻辑处理还是由真实服务器来处理

    35 条回复    2018-11-30 17:32:58 +08:00
    also24
        1
    also24  
       2018-11-30 09:11:06 +08:00 via Android
    “反向代理” “负载均衡” 了解一下
    freetstar
        2
    freetstar  
       2018-11-30 09:11:12 +08:00
    代理? nginx ?
    berforest
        3
    berforest  
       2018-11-30 09:11:22 +08:00
    堡垒机
    jtsai
        4
    jtsai  
       2018-11-30 09:11:26 +08:00
    cdn
    mytsing520
        5
    mytsing520  
       2018-11-30 09:11:35 +08:00
    HAProxy
    Nginx

    你所需要的只是一个反向代理或负载均衡
    cjpjxjx
        6
    cjpjxjx  
       2018-11-30 09:11:55 +08:00 via iPhone
    CF 了解一下
    mytsing520
        7
    mytsing520  
       2018-11-30 09:11:59 +08:00   ❤️ 1
    @jtsai 楼主说了已经套了 CF~
    mytsing520
        8
    mytsing520  
       2018-11-30 09:12:17 +08:00
    @cjpjxjx 楼主说了已经套了 CF 了。。
    yongxa
        9
    yongxa  
       2018-11-30 09:14:39 +08:00
    akamai 家有 site shield,cf 不太清楚,限制 cdn 的回源服务器地址
    nvksie
        10
    nvksie  
       2018-11-30 09:14:51 +08:00 via Android
    iptables DNAT ?
    iluhcm
        11
    iluhcm  
       2018-11-30 09:29:44 +08:00
    ngnix 完全符合你的要求
    AzadCypress
        12
    AzadCypress  
       2018-11-30 09:31:37 +08:00 via Android
    堡垒机或者又叫跳板机
    细节我不清楚,但我们项目项目上有在用
    8355
        13
    8355  
       2018-11-30 09:37:50 +08:00
    用阿里云的话直接挂一个负载均衡就行 又便宜又简单 不用考虑过多维护的问题. 自己开机器像楼上说的弄 nginx 或者堡垒机需要增加维护成本.代价和需要的功能不成正比.因为你需要的是一个前端转发的功能, 这个机器要求高可用怎么选自己看吧.
    linshixiong
        14
    linshixiong  
       2018-11-30 09:42:35 +08:00
    iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to 目标 IP:443
    iptables -t nat -A POSTROUTING -j MASQUERADE
    jaryoung
        15
    jaryoung  
       2018-11-30 09:43:18 +08:00
    跳板机也是可以的
    305835227fadf
        16
    305835227fadf  
       2018-11-30 09:46:35 +08:00
    CDN 了解一下
    sinver
        17
    sinver  
       2018-11-30 09:47:17 +08:00
    CDN 了解一下
    glfpes
        18
    glfpes  
       2018-11-30 09:49:19 +08:00
    CF 是啥,我脑子里只有 1 个候选就是 center forward
    Meano
        19
    Meano  
       2018-11-30 09:52:58 +08:00
    @glfpes cloudflare
    codehz
        20
    codehz  
       2018-11-30 09:54:04 +08:00 via Android   ❤️ 3
    除了一层反向代理,还得避免服务端直接访问用户提交的地址,(比如有些论坛程序会尝试解析短网址),否则还是很容易泄漏 ip
    xiangyuecn
        21
    xiangyuecn  
       2018-11-30 10:02:29 +08:00
    @codehz #20 厉害了,又学了个大招
    glfpes
        22
    glfpes  
       2018-11-30 10:04:33 +08:00
    "目前套了 CF,但是还是担心暴露服务器真实 ip,想把这台真实的服务器隐藏在后面"

    看起来是想避免在 cloudflare 配置页写自己的 real server 的 ip
    那妥妥的加一层 nginx 就好了

    user ---公网--- cloudflare ---公网--- 新增 nginx(公网 ip) ---内网--- real server(tomcat 等等...)(内网 ip)
    cnbobolee
        23
    cnbobolee  
       2018-11-30 10:08:02 +08:00
    没有做过流量负载均衡吗?阿里云有全套的。
    CoderGeek
        24
    CoderGeek  
       2018-11-30 10:19:11 +08:00
    负载 + 弹性 IP + nginx
    abux1024
        25
    abux1024  
       2018-11-30 11:12:45 +08:00
    cloudflare
    czjxy881
        26
    czjxy881  
       2018-11-30 11:27:16 +08:00
    阿里云有个 Web 应用防火墙,可以隐藏地址。 自己搭反向代理没啥用的,因为依旧单点没法防御住攻击
    walkersz
        27
    walkersz  
       2018-11-30 12:35:48 +08:00
    静态资源走 CDN
    api 接口 +nginx 做反向代理或者使用各云提供的负载均衡
    zhouyut001
        28
    zhouyut001  
       2018-11-30 13:05:08 +08:00
    nginx?
    gigantic222
        29
    gigantic222  
       2018-11-30 13:34:08 +08:00 via Android
    既然已经套了 cf 了还担心什么呀 把 cdn 开启就好了
    jmk92
        30
    jmk92  
       2018-11-30 15:40:36 +08:00
    在之前 CDN 不成熟时,确实有一些黑科技能找到源站,但是现在主要是在被攻击之后回源。
    当然,你可以再套一层负载均衡,暴露了也可以再换。
    shuizhengqi
        31
    shuizhengqi  
       2018-11-30 15:45:15 +08:00
    听说过 vip 吗
    wangxiaoaer
        32
    wangxiaoaer  
       2018-11-30 16:11:14 +08:00 via Android
    你的传话筒服务器暴露了怎么办?
    cxh116
        33
    cxh116  
       2018-11-30 16:15:44 +08:00
    CF 的 Authenticated Origin Pulls 了解下,限制只有指定私钥的客户端才可以访问你的源站(源站记得关闭 http).

    https://support.cloudflare.com/hc/en-us/articles/204899617-Authenticated-Origin-Pulls
    LGA1150
        34
    LGA1150  
       2018-11-30 17:30:13 +08:00 via Android   ❤️ 1
    https://www.cloudflare.com/ips/
    既然你用了 CF,把非 CF 的 IP 封了就行了
    baize
        35
    baize  
       2018-11-30 17:32:58 +08:00
    ngrok 试试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2573 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:09 · PVG 23:09 · LAX 07:09 · JFK 10:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.