%EC%9D%98%20%ED%99%94%EC%9D%B4%ED%8A%B8%EB%A6%AC%EC%8A%A4%ED%8A%B8%EB%A5%BC%20%EC%9E%90%EB%8F%99%EC%9C%BC%EB%A1%9C%20%EA%B4%80%EB%A6%AC%ED%95%98%EC%8B%9C%EA%B2%A0%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
개인용으로 Tinyproxy를 실행하는 VPS와 개발용으로 nginx를 실행하는 VPS가 있습니다. 내 제품을 자동으로 화이트리스트에 추가하는 데 사용할 수 있는 프로토콜/데몬이 있나요?동적지적 재산권? 이런 방식으로 Tinyproxy는 내 IP의 연결만 허용하고 nginx는 내 IP만 제공합니다.
이제 예를 들어 하위 도메인을 사용 123.123.0.0/16하지만 이는 여전히 취약해 보이고 때로는 ISP가 나를 짜증나게 하기 위해 두 번째 쿼드를 변경합니다.
나는 bash 스크립트, iptables 및 noip를 통해 이 작업을 수행할 수 있다고 생각하지만 이것이 내 관심사입니다.
- 제3자 서비스에 대한 의존.
- 여러 장치(집, 직장, 휴대폰, 태블릿)에 여러 개의 동적 IP 이름이 필요합니다(따라서 유료 계정이 필요할 수 있음).
- 추가 실패 지점입니다. noip이 다운되면 액세스할 수 없습니다.
나는 오늘 이것을 자동화하기 위한 데몬을 작성한다는 아이디어를 가지고 있었고, 그것이 재미있는 연습이 될 것이라고 생각했지만 바퀴를 재발명하고 싶지는 않았습니다.
이것이 내가 생각하는 방식이다. 단일 솔루션이 없다면 일부가 이미 완료되었을 수도 있습니다.
- 프로그램에 의해 예약된 구성 파일의 대괄호로 묶인 부분입니다. 예를 들어,tinyproxy.conf:
#!-autowhitelist section-do not change anything below this--
allow 123.123.123.123 allow 123.123.123.124
#-!-autowhitelist section-do not change anything above this--
- 서버는 해당 포트에서 실행되며 모든 연결을 수락합니다. .
- 클라이언트는 이 포트에 연결하고 등록을 요청합니다.
- 서버가 인증 수행(미리 저장된 공개키를 통한 시도-응답)
- 인증된 경우tinyproxy.conf를 스캔하고 허용 줄을 마지막 줄로 바꿉니다.N(구성 가능) 등록할 유일한 클라이언트입니다.
- 실행합니다
service tinyproxy reload(기존 연결을 존중해야 한다고 생각합니다). - 아니면 수정된 규칙일 수도
iptables있는데 어느 것이 더 나은 솔루션인지 고려하지 않았습니다. 시스템 수준 화이트리스트는 더 안전하고 강력할 수 있지만 구성 수준은 더 유연하고 로깅 등을 허용합니다.
서버 프로그램에는 다양한 형식(tinyproxy용 하나, nginx용 하나, 모험심이 있다면 sshd용 하나 등)의 구성 파일을 처리하는 동적 스크립트가 있을 수 있습니다.
거기에서 볼 수 있는 아이디어나 보안 허점이 있습니까?