https://www.opennet.ru/openforum/vsluhforumID8/8227.html Подскажите, плиз, как зашифровать канал с помощью Nginx?<br><br>Ситуация следующая: есть роутер с внешним веб-доступом по http://<br>В Интернете есть внешний реверсный сервер на Nginx, через который можно обращаться к роутеру извне по схеме:<br><br>[code]Инет -----http-----&gt; Внешний реверсный Nnginx-прокси ------http------&gt; &#124; Роутер[/code]<br><br>На данный момент конфиг Nginx следующий:<br><br>[code]server {<br>server_name my_http_router.ru;<br>listen 88.88.88.88:80;<br>location / {<br>proxy_pass http://77.77.77.770:80;<br> proxy_http_version 1.1;<br> proxy_set_header Upgrade $http_upgrade;<br> proxy_set_header Connection "upgrade";<br>proxy_redirect default;<br>proxy_set_header Host $http_host;<br>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br>proxy_set_header X-Forwarded-Proto $scheme;<br>proxy_set_header X-Real-IP $remote_addr;<br>}<br>}<br>[/code]<br><br>Все это вместе работает самым чудесным образом.<br>Важный нюанс: этот конфиг поддерживае https://www.opennet.ru/openforum/vsluhforumID8/8227.html#24 Wed, 02 Sep 2020 08:52:47 GMT &gt; Вебсокеты. С ними ничего не будет, зашифрован промежуточный <br>&gt; канал или нет, совершенно неважно.<br><br>Как понять эту фразу - что вебсокеты не шифруются??<br><br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#23 Tue, 01 Sep 2020 18:06:17 GMT &gt;&gt;Получаю пару зашифровано+расшифровано.<br>&gt;&gt;Понятно, что с несимметричным шифрованием я не получу сразу пару ключей.<br>&gt; Полная ахинея. Перед тем, как кого-то учить, надо самому разобраться.<br><br>Имхо, этот человек определенно знает о чем говорит. <br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#20 Tue, 01 Sep 2020 13:39:21 GMT Сопоставить возможно. Если иметь контроль над каналом подключения одного из прокси-серверов. Для этого не надо взламывать шифрованное соединение.<br><br>Идея в целом дурная. Очередной подкроватный сайт с сомнительным контентом. Сколько можно? Вот прямо совсем нет денег на хостинг? В школе горячие обеды теперь и мама не дает карманные?<br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#19 Tue, 01 Sep 2020 13:32:24 GMT &gt;этот конфиг поддерживает также и сокеты.<br><br>Вебсокеты. С ними ничего не будет, зашифрован промежуточный канал или нет, совершенно неважно.<br><br>На локальный прокси ставите самоподписные сертификаты и ставите его CA серт в доверенный на реверсном прокси. <br><br>http://nginx.org/ru/docs/http/ngx_http_ssl_module.html<br>http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_certificate<br><br>Серьезно, прочитайте. Сразу станете умнее 95% собравшихся. И умнее 99% в многоуважаемом All, где бы это не было.<br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#18 Tue, 01 Sep 2020 13:23:26 GMT &gt;Получаю пару зашифровано+расшифровано.<br>&gt;Понятно, что с несимметричным шифрованием я не получу сразу пару ключей.<br><br>Полная ахинея. Перед тем, как кого-то учить, надо самому разобраться.<br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#17 Tue, 01 Sep 2020 06:46:10 GMT С трудом :) Но вам, знатокам, виднее. <br><br>Вообще-то моя главная задача - скрыть, замаскировать мой IP, в данном случае - локального прокси.<br><br>Чтобы снаружи, конечно, был виден IP внешнего прокси, а вот понять, откуда, с какого IP поступает на него трафик - чтобы это было невозможно.<br>И тут без разницы, что будет использоваться - httpS или VPN, главное - скрыть мой истинный IP.<br><br><br>Один знающий человек меня убедил, что если использовать промежуточное шифрование между проксями, то так и будет, и вычислить мой местный IP будет невозможно.<br><br>Насколько я понимаю, мой провайдер будет видеть, что с моего локального прокси будет виден трафик на внешний прокси, но вот сопоставить одно с другим, и понять, что внешний IP имеет отношение к моему локальному IP - не знаю, возможно ли это. <br><br>Поэтому со всем вниманием выслушаю ваши соображения.<br>И если окажется, что таким способом вычислить мой IP возможно, то конечно, брошу эту затею.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#16 Mon, 31 Aug 2020 21:24:56 GMT &gt; Участок, который хочу зашифровать, проходит по неблагополучной в отношении охоты на ведьм <br>&gt; стране.<br>&gt; Поэтому о т-щах майорах я сказал вполне серьезно, не надо искать другой <br>&gt; подтекст, которого нет.<br><br>Вот смотри - я, как т-щ майор, слушаю твой HTTPS трафик. После этого отправляю HTTP запрос на твой открытый reverse proxy - скажем, 1024000 пробелов внутри PUT request. Получаю пару зашифровано+расшифровано.<br><br>Понятно, что с несимметричным шифрованием я не получу сразу пару ключей. Но один я сразу подслушал и могу предположить, на что похож другой. Кроме того, я точно знаю, что должно получиться.<br><br>Дальше продолжать или до тебя дошло, что ты вообще не понимаешь, что ты делаешь?<br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#14 Mon, 31 Aug 2020 08:34:41 GMT &gt;&gt; Я думаю, вы очень сильно лукавите.<br><br>[b]universite[/b]: Да, и спасибо вам за деликатность :) <br>Другие люди для обозначения обмана обычно выбирают другие, непечатные выражения.<br>И, как уже говорил, никого тут не обманываю, просто рассказываю не все подробности, потому что здесь они неактуальны.<br> https://www.opennet.ru/openforum/vsluhforumID8/8227.html#13 Mon, 31 Aug 2020 06:06:51 GMT &gt; Я думаю, вы очень сильно лукавите.<br><br>[b]universite[/b], не стоит судить о других по себе. Я вам рассказал половину правды, вторая вам просто ни к чему.<br><br><br>&gt; Подозреваю, вы хотите соорудить анонимный хостинг.<br><br>Если бы мне понадобился анонимный хостинг, то я бы тут не заморачивался с проксями, а поступил бы гораздо проще, а главное, гораздо безопаснее - работал бы с хостом через Tor, благо он умеет пропускать ssh. Только мне это не надо.<br><br><br>&gt; P.S. даже если вы по сигнатурам заблочите такой канал, добавление мусора быстро сделают сигнатуры бесполезным методом.<br><br>А вот эта ремарка меня заинтересовала. Можно подробнее, что вы тут имеете в виду?<br>