LINUX.ORG.RU
ФорумAdmin

HAProxy как способ общения с SSL-сервером не-SSL дружественным клиентам?

 , ,


1

1

Всю голову сломал, причём уже второй раз, но на сей раз положение безвыходное уже, нужно настроить.

Хочу вроде бы простую вещь: чтобы haproxy:

1) Создал SSL-туннель с удалённым сервером, предоставляющим «услугу» (в данном случае - LDAP)

2) Клиенты подключались бы к HAProxy без шифрования, а уже он общался бы с сервером через SSL

С учётом того, что клиенты на самом деле на том же localhost'е, что и haproxy - секьюрность явно не страдает.

Читаю доки к HAProxy - и постоянно сталкиваюсь с тем, что либо предлагается весь трафик шифровать, либо только от клиента до HAProxy. А мне как раз нужно чтобы только между HAProxy и серверами трафик был шифрованным.

Как быть? Где описана именно такая, stunnel-подобная конфигурация haproxy?

Спасибо!

Solved:

global
	log	127.0.0.1 local4
	pidfile	/var/run/haproxy/pidfile
	daemon
	stats   socket /var/lib/haproxy/stats
	ssl-server-verify none	
defaults
    	mode tcp
	log global
    	timeout connect 5000ms
    	timeout client 50000ms
    	timeout server 50000ms
frontend FE_ldap
	bind 0.0.0.0:389
	option tcplog
	default_backend BE_ldaps
backend BE_ldaps
	option ssl-hello-chk
	option ldap-check
	option tcpka
	server ldap01 remote.server1.com:636 ssl verify none crt /etc/ssl/certs/thisServer_cert_and_privKey_here.pem check check-ssl fall 1 rise 1 inter 2s
	server ldap02 remote.server2.com:636 ssl verify none crt /etc/ssl/certs/thisServer_cert_and_privKey_here.pem check check-ssl fall 1 rise 1 inter 2s backup

★★★★★

Ничего не знаю про HAProxy, но недавно я узнал, что в Nginx есть поддержка проксирования TCP. Можно в конфиге написать:

stream {
    server {
	listen 8081;
	proxy_ssl on;
	proxy_pass ya.ru:443;
    }
}
и тогда соединение на localhost:8081 будет перенаправлено к ya.ru, с обёрткой в TLS. Должно работать с любым протоколом поверх TCP.

i-rinat ★★★★★ ()

Плюсану nginx. TCP-проксирование поддерживается с версии 1.10 ЕМНИП.

trancefer ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.