https://wiki.p3.ru/index.php?action=history&feed=atom&title=STunnelSTunnel - История изменений2026-04-30T17:21:30ZИстория изменений этой страницы в викиMediaWiki 1.45.1https://wiki.p3.ru/index.php?title=STunnel&diff=380&oldid=prevTTK в 10:56, 23 августа 20122012-08-23T10:56:20Z<p></p>
<p><b>Новая страница</b></p><div>В этой статье описан процесс быстрого поднятия шифрованного туннеля, который может служить для самых различных целей для VDS с ОС FreeBSD.<br />
<br />
Очевидно, что для создания безопасной и устойчивой к сниффингу прокси-цепочки (ну или любого другого сервиса), необходимо создание шифрованного туннеля. Сразу скажу о том, что VPN на эту роль ну никак не подходит по той простой причине, что ни OpenVPN, ни какие-либо другие реализации VPN под текущей реализацией виртуализации FreeBSD не работают!<br />
<br />
Итак, начнём.<br />
<br />
Первое, что нужно сделать - это сконфигурировать сам STunnel:<br />
<br />
# cd /usr/ports/security/stunnel<br />
# make config<br />
<br />
Советую выбрать потоковую модель "Ucontext", ибо все прочие на моей машине приводили к полному зависанию STunnel после определённого периода работы.<br />
<br />
Далее:<br />
<br />
# make install clean<br />
<br />
Этим самым мы скомпилируем, установим STunnel и сразу же удалим временные файлы, которые занимают довольно приличное дисковое пространство.<br />
<br />
На этом, фактически, сам процесс установки завершён. Далее следует созать сертификаты безопасности и настроить сам STunnel.<br />
<br />
# cd /usr/local/etc/stunnel<br />
<br />
<br />
Самостоятельно создаем ключи и сертификаты со сроком действия 1 год. В связи с тем, что stunnel не умеет работать с ключами, защищенными паролями, используем опцию -nodes.<br />
<br />
# openssl req -new -x509 -days 365 -nodes -out stunnel.cert -keyout stunnel.key<br />
Generating a 1024 bit RSA private key<br />
................++++++<br />
......................++++++<br />
writing new private key to 'stunnel.key'<br />
-----<br />
You are about to be asked to enter information that will be incorporated<br />
into your certificate request.<br />
What you are about to enter is what is called a Distinguished Name or a DN.<br />
There are quite a few fields but you can leave some blank<br />
For some fields there will be a default value,<br />
If you enter '.', the field will be left blank.<br />
-----<br />
Country Name (2 letter code) [AU]:RU<br />
State or Province Name (full name) [Some-State]:Rostov region<br />
Locality Name (eg, city) []:Rostov-on-Don<br />
Organization Name (eg, company) [Internet Widgits Pty Ltd]:home<br />
Organizational Unit Name (eg, section) []:Test Lab<br />
Common Name (eg, YOUR name) []:freebsd410.unreal.net<br />
Email Address []:tigrisha@freebsd410.unreal<br />
<br />
Обращаю внимание на то, что Email Address и Common Name должны соответствовать обратной DNS зоне вашего сервера (PTR-запись), иначе это может привести к различным негативным последствиям.<br />
<br />
Далее создаёте сам файл конфигурации:<br />
<br />
# echo "<br />
cert = /usr/local/etc/stunnel/stunnel.cert<br />
key = /usr/local/etc/stunnel/stunnel.key<br />
; Protocol version (all, SSLv2, SSLv3, TLSv1)<br />
sslVersion = SSLv3<br />
<br />
; Some security enhancements for UNIX systems - comment them out on Win32<br />
;chroot = /var/tmp/stunnel<br />
;setuid = stunnel<br />
;setgid = stunnel<br />
; PID is created inside chroot jail<br />
;pid = /stunnel.pid<br />
<br />
;engineNum = 1<br />
ciphers = AES256-SHA<br />
<br />
; Some performance tunings<br />
socket = l:TCP_NODELAY=1<br />
socket = r:TCP_NODELAY=1<br />
compression = rle <br />
<br />
; Workaround for Eudora bug<br />
options = DONT_INSERT_EMPTY_FRAGMENTS<br />
<br />
; Authentication stuff<br />
;verify = 2<br />
; Don't forget to c_rehash CApath<br />
; CApath is located inside chroot jail<br />
;CApath = /certs<br />
; It's often easier to use CAfile<br />
;CAfile = /usr/local/etc/stunnel/certs.pem<br />
; Don't forget to c_rehash CRLpath<br />
; CRLpath is located inside chroot jail<br />
;CRLpath = /crls<br />
; Alternatively you can use CRLfile<br />
;CRLfile = /usr/local/etc/stunnel/crls.pem <br />
<br />
; Some debugging stuff useful for troubleshooting<br />
debug = 4<br />
output = /var/log/stunnel.log<br />
<br />
; Use it for client mode<br />
;client = yes <br />
<br />
[proxy]<br />
accept = 5131<br />
connect = 127.0.0.1:_порт_вашего_http_прокси_<br />
TIMEOUTclose = 0<br />
<br />
[sproxy]<br />
accept = 5133<br />
connect = 127.0.0.1:_порт_вашего_https_прокси_<br />
TIMEOUTclose = 0<br />
" > stunnel.conf<br />
</source><br />
<br />
На это серверная часть настройки STunnel завершена. У клиента же потребуется указать в конфигурации всё то же самое, за исключением того, что необходимо закомментировать строчки с путями к сертификату и ключу, раскомментировать строку "client = yes", а также подправить секцию с сервисами следующим образом:<br />
<br />
[proxy]<br />
accept = 5131<br />
connect = _ip_адрес_вашего_сервера_:5131<br />
TIMEOUTclose = 0<br />
<br />
[sproxy]<br />
accept = 5133<br />
connect = _ip_адрес_вашего_сервера_:5133<br />
TIMEOUTclose = 0<br />
</source><br />
<br />
Теперь в браузере необходимо указать в настройках прокси следущее:<br /><br />
HTTP-прокси: 127.0.0.1:5131<br /><br />
HTTPS-прокси: 127.0.0.1:5133<br />
<br />
Всё, теперь данные от Вас до Вашего прокси-сервера надёжно защищены от сниффинга.<br />
<br />
[[Категория:Сервисы]]</div>TTK