我想通过端口 80(由 apache 侦听)来隧道化我的 ssh。 mod_proxy & mod_proxy_connect 为我提供了 AllowCONNECT 指令,允许我使用 CONNECT host:22 HTTP/1.1 连接到我的 ssh 主机。但是CONNECT后面的主机不受限制,有解决办法吗?
【问题讨论】:
<ProxyMatch> 指令呢?
标签: apache ssh mod-proxy tunnel
有一种不需要更改 Apache 源代码的解决方案。将以下内容放入您的 httpd.conf 文件中:
# By default, deny everyone. If you don't,
# others will be able to connect to port 22 on any host.
<Proxy *>
Order deny,allow
Deny from all
</Proxy>
# Only allow CONNECT to specific hosts;
<ProxyMatch (^(host1\.com|host2|host3):22$)>
Order allow,deny
Allow from all
</ProxyMatch>
更改 Apache 源代码会增加维护负担,因为您必须将补丁重新应用到每个新的 Apache 版本。
【讨论】:
我自己想通了。只需在
中添加几行apache2.2/modules/proxy/mod_proxy_connect.c +123
char *allowed_hosts[] = {
"your host",
"127.0.0.1",
"localhost"
};
int hosts_num = sizeof(allowed_hosts) / sizeof(allowed_hosts[0]);
int k;
for (k = 0; k < hosts_num; k++) {
if (strncmp(uri.hostname, allowed_hosts[k], strlen(allowed_hosts[k])) == 0) {
break;
}
}
if (k == hosts_num) {
return ap_proxyerror(r, HTTP_BAD_GATEWAY,
apr_pstrcat(p, "host not allowed for: ",
uri.hostname, NULL));
}
【讨论】: