Part3——NPM + CF相关设置

MCSManager的node反代

反代23333端口的面板没啥特别的,所以我们跳过。

主要讲一下MCSManager的node反代,因为23333端口用上https之后,node/24444端口默认用的ws连接就会被浏览器默认拒绝了,导致面板终端连不上。所以我们需要换成wss连接,在NPM对24444的反代设置的custom location里加上这段:

location = / {
  proxy_set_header Host $host;
  proxy_set_header X-Real-Ip $remote_addr;
  proxy_set_header X-Forwarded-For $remote_addr;
  proxy_set_header REMOTE-HOST $remote_addr;
  proxy_pass http://MC机的ip:24444;
  proxy_set_header Upgrade $http_upgrade;
  proxy_set_header Connection "upgrade";
  client_max_body_size 0;
  proxy_request_buffering off;
  proxy_buffering off;
}

然后去MCSManager面板的节点设置里,将远程节点 IP 地址的localhost换成wss://反代链接,再将远程节点端口从24444换成443,确定保存,这时候应该就可以正常使用终端,节点界面的网页直连应该也通了。

顺便提一嘴,23333/24444端口反代的cf小橙云都是需要打开的,不然就直接泄露跳板机的ip了。

MC游戏端口的处理

前面也简单提过,首先我们通过跳板机的NPM,在Streams里设置将MC机的25565端口转发到跳板机的25555端口,然后我们来配CF的SRV记录。

首先是一个小橙云打开的A记录,直接解析到跳板机的ip

然后是SRV记录,参照下图配置:

其中名称里的_minecraft._tcp.是固定的不能变,后面的mc可以自由发挥,比如刚刚你的A记录域名是srv.vme50.com,srv记录的名称这里你写了_minecraft._tcp.kfccrazythursday,那么你在mc客户端里的游戏服务器地址就应该填写kfccrazythursday.vme50.com,不需要加https不需要加端口,就填域名就能直接进去。

网络方面的配置暂时就这么多,你可以试一下dig/nslookup/ping一下kfccrazythursday.vme50.comsrv.vme50.com,都是出不来源站的,对于SRV记录有特殊的dig技巧,可以防住一些小白。但是要注意的是SRV记录并不能防止泄露解析的目标ip。现在这个配置,SRV指向的是你的跳板机,理论上只要你的跳板机没沦陷,就能挡在MC机的前面。如果你的跳板机是OVH这种买鸡就送1Tbps的DDOS防御的机子的话,那么用它当跳板就会用上它的防D属性,不过OVH在国内的互联不咋地,这里不详细讨论。

跳板机/堡垒机的CF WAF安全审计

因为现在所有的流量都将经过CF再到跳板机/堡垒机,所以在CF上我们也可以对访问域名做安全审计,这部分我还没研究,后面找到抄袭对象了之后再补上XD。

页: 1 2 3 4 5