Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
JustMe_001 13 часов назад Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис Время на прочтение 10 мин Охват и читатели 10K Информационная безопасность * Системное администрирование...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. JustMe_001 13 часов назад Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис Время на прочтение 10 мин Охват и читатели 10K Информационная безопасность * Системное администрирование * Сетевые технологии * Nginx * Туториал Из песочницы Давно читаю Хабр, и всегда хотелось что-нибудь да написать. И вот, тема появилась. Надо было на одном сервере запустить и VPN-сервер (который уже работал), и легитимный сервис.
Сразу нужно сказать, что этот метод подойдёт в основном для тех, у кого уже есть свой реальный веб-сервис. Подойдёт и обычный написанный на коленке сайтик, и что-то покрупнее. Главное чтобы оно было действительно вашим.
Технические детали
Как мы уже все знаем, без VPN в современном Интернете не выжить. Да даже эту статью вы наверняка читаете со способом обхода. Но с каждым днём РКН выкашивает всё активнее и всё больше VPN-серверов.
И самая главная проблема "раскрытия" серверов - простукивание по портам, а также слепки. Если вы маскируетесь, например, под apple. com, то вас рано или поздно "по ойпи вычеслят", особенно если вы не закрыли панель.
А мы тут не под кого не маскируемся - сервис легитимный и реально ваш. Просто его часть немного "скрыта" от ненужных глаз :). Кто его знает, может в database.
Отраслевые последствия
site крутится база данных. Нам понадобится NGINX, и панель типа 3x-ui, но это не обязательно (если вы мазохист то можно и голый XRAY), однако желательно, потому что панель тоже будет закрыта за щитом NGINX, и рисков с ней нет :). Простая схема как это выглядит Для начала, у NGINX будет stream-block с ssl preread.
Тоесть перед тем как мы подключимся, мы смотрим: "так, а на какой домен стучатся? Если стучатся на IP, просто режем TLS-рукопожатие, выдавая SSL_ERROR_UNRECOGNIZED_NAME_ALERT ("у нас нет сертификата на такой домен, простите"). Если стучатся прямо на домен, пропускаем и разбираемся в HTTP-блоке NGINXа, либо же сразу прокидываем на наш inbound.
Примерная схема как это будет работать Подготовка Для начала, нужно установить NGINX с модулем stream. Создаём APT-репозиторий для NGINX и устанавливаем Так как в этом туториале будут директивы, которые поддерживаются только с версии 1. 25 (Например, listen 443 ssl; вместо listen 443; ssl on;), лучше добавить APT-репозиторий непосредственно от NGINX, вместо дефолтных (Сейчас вроде как "из коробки" идёт 1.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
