Kirjoittaja Aihe: Palvelin NATin takana / HTTPS? / Reverse SSH -tunnelointi / Domain  (Luettu 4208 kertaa)

samsunix

  • Käyttäjä
  • Viestejä: 203
    • Profiili
    • samuliweb
Moi

Toivottavasti joku osaa ja jaksaa vastata...

Tarve luoda low budjetti yhteys palvelimen ja käyttäjien välille:


portit: 80, random portti1, random portti2, jne...

SERVER - LAN - ISP & NAT - WAN - DYNDNS (Tai vastaava) - ISP - LAN & NAT - CLIENT


Ymmärtääkseni tässä voisi käyttää käänteistä SSH tunnelointia, HTTPS?

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Käänteinen SSH-tunneli tarkoittaisi, että palvelin luo ja ylläpitää SSH-yhteyksiä asiakaskoneisiin, joilla täytyy siis olla julkinen IP-osoite ja SSH-portti auki. SSH:n kautta sitten kytketään asiakaskoneen tietyt portit palvelimen portteihin.

Lienee kuitenkin helpompaa järjestää julkinen IP palvelinpuolelle, ja konfiguroida NAT-purkin palomuuriin ohjaus haluttuihin palvelimen portteihin? Jos palvelut halutaan pitää suojassa ja salasanojen takana, siisti vaihtoehto on esimerkiksi palvelujen eteen sijoitettu reverse proxy (Nginx, Apache, ...), joka terminoi asiakkaan HTTPS-yhteyden ja autentikoi käyttäjän vaikkapa HTTP Basic Authenticationilla.

samsunix

  • Käyttäjä
  • Viestejä: 203
    • Profiili
    • samuliweb
Lainaus
Käänteinen SSH-tunneli tarkoittaisi, että palvelin luo ja ylläpitää SSH-yhteyksiä asiakaskoneisiin, joilla täytyy siis olla julkinen IP-osoite ja SSH-portti auki. SSH:n kautta sitten kytketään asiakaskoneen tietyt portit palvelimen portteihin.

Tuo onkin sitten hankalempi toteuttaa suureman porukan kanssa, osa kun ei osaa aukaista portin porttia saatika tiedä miten siihen omaan boksiin pääsee kiinni...

Lainaus
Lienee kuitenkin helpompaa järjestää julkinen IP palvelinpuolelle, ja konfiguroida NAT-purkin palomuuriin ohjaus haluttuihin palvelimen portteihin?

jos tuo olisi vaihtoehto, en olisi täällä :) Kyseisellä palveluntarjoajalla on 2.5 - 5 miljuunaa asiakasta vain tällä alueelle, eikä julkisia ip osoitteita nuon vaan ripotella ellei ole yritys asiakas...

Lainaus
Jos palvelut halutaan pitää suojassa ja salasanojen takana, siisti vaihtoehto on esimerkiksi palvelujen eteen sijoitettu reverse proxy (Nginx, Apache, ...), joka terminoi asiakkaan HTTPS-yhteyden ja autentikoi käyttäjän vaikkapa HTTP Basic Authenticationilla.

...Tuo olisi ihan näppärä, mutta ei taida tämä idea edetä tuolle tasolle. Kiitos vastauksista.

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Hostattu virtuaalikone pilvessä ei välttämättä maksa maltaita, ja pilvessä julkisella IP:llä varustettu nettiyhteyskin on varsin edullinen (käytännössä ilmainen, jos liikennemäärät ovat kohtuullisia). Kympillä kuukaudessa saa jo ihan kelvollisen pikkupalvelimen 2 gigan muistilla ja 50 gigan SSD-levyllä. Esimerkiksi DigitalOcean, Linode ja Scaleway ovat edullisia pilvialustoja. Isot pilvet Amazon AWS, Google Cloud Platform ja Microsoft Azure ovat toki myös hyviä vaihtoehtoja, jos ei tarvitse jokaista euroa laskea.