假设,例如,我只想允许连接到subdomain.mydomain.com;我让它部分工作,但是一旦允许客户端问候,它有时会与客户端密钥交换进入一个怪异的循环。啊,更烦人的是,它是一个自签名证书,并且页面需要身份验证,并且 HTTPS 正在侦听非标准端口……所以 TCP/SSL 握手体验对于许多用户来说会有很大差异。
-m 最近是正确的路线吗?一旦看到字符串,是否有更优雅的方法来允许完整的 TCP 流?
这是我到目前为止所拥有的:
#iptables -N SSL #iptables -A INPUT -i eth0 -p tcp -j SSL #iptables -A SSL -m 最近 --set -p tcp --syn --dport 400 #iptables -A SSL -m 最近 --update -p tcp --tcp-flags PSH,SYN,ACK SYN,ACK --sport 400 #iptables -A SSL -m 最近 --update -p tcp --tcp-flags PSH,SYN,ACK ACK --dport 400 #iptables -A SSL -m 最近 --remove -p tcp --tcp-flags PSH,ACK PSH,ACK --dport 400 -m string --algo kmp --string "subdomain.mydomain.com" -j ACCEPT
是的,我试图通过 nginx 调整来解决这个问题,但我无法让 nginx 在客户端打好之前返回 444,如果你能想出一种方法来实现这一点,我会全神贯注,错误,眼睛.