- 事情的起因是这样的,服务器在没有上 fail2ban 之前,每天被爆破上千次,我就在想能不能用什么办法,让这些发包的 ip 访问不了我的端口呢?
- 秉持着试一试的心态,go 语言网络处理能力也不赖,要不让 go 语言来试一下吧。
- 于是开始设计可信认证的理念:开一个 http 服务,只有访问秘密的特定路径的 ip 地址,就把它存下来,相当于加入了白名单。
- 有了 ip 地址白名单,接下来就是做一套 tcp 端口转发,go 语言同样不在话下,在中间设卡,只有在白名单里的 ip 才能继续交换数据。
- 再后来,为了安全考虑,以及尽量减少存储 io ,直接把白名单写进内存,同样的 http 也做了自签,丢进内存里,再后来借鉴了 certmagic 包,直接自动化处理 tls 证书,http/https 选择自由。
- 就这样稳定用了很久,对内网穿透又有了需求,结合刚才的那一套,又接着开发出网穿的服务端和客户端,同样可以选择服务端是不是带认证,而且修了一下 sshd 隔段时间断开的坑。
- 继续稳定自用了好几个月,决定终于可以终于可以开源开源共享出来了,把这个项目命名为 passport ,意思就是需要 access pass 才可以让数据穿过特定端口。
- 项目托管在 github 上,也算是我在 V2EX 分享的第一个作品,欢迎前辈们鉴赏,若有不足之处,敬请指正。
- https://github.com/yosebyte/passport
3 条回复
 |
1
crab 1 天前
port knocking ?
|
 |
2
uid106 OP @crab 没设置的那么高级,核心逻辑是 ip 地址核查:
``` clientIP, _, err := net.SplitHostPort(linkConn.RemoteAddr().String()) if err != nil { linkConn.Close() return } if _, exists := whiteList.Load(clientIP); !exists { linkConn.Close() return } ``` |
 |
3
xyholic 1 天前
./passport server://:10101/:10022#https://hostname:8443/server
意思是我访问 10101 的时候需要先完成 https://hostname:8443/server 里要求的验证,成功之后后端才会把我的访问转发到 10022 ? https://hostname:8443/server 可以是 basic auth 么 还是说只要访问过 https://hostname:8443/server 就可以了,需要把 uri 写的复杂一些等于加了个密码? |
Select Language