lvs 持久连接 80 和443 端口iptables mangle

namedhao

一、建立私有CA，并给服务器签发：
在确定配置为CA的服务器上生成一个自签证书，并为CA提供所需要的目录及文件即可；
步骤：
(1) 生成私钥；
]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
注意：文件名要与配置文件中的文件名一致；
]# ll /etc/pki/CA/private/：查看文件权限确保为600；


(2) 生成自签证书；
]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
  -new：生成新证书签署请求；
  -x509：生成自签格式证书，专用于创建私有CA时；
  -key：生成请求时用到的私有文件路径；
  -out：生成的请求文件路径；如果自签操作将直接生成签署过的证书；
  -days：证书的有效时长，单位是day；
  根据提示输入相关信息，完成即可；


提示输入：Country Name (2 letter code) [XX]:CN
提示输入：State or Province Name (full name) []:Beijing
提示输入：Locality Name (eg, city) [Default City]:Beijing
提示输入：Organization Name (eg, company) [Default Company Ltd]:MageEdu
提示输入：Organizational Unit Name (eg, section) []:Ops
提示输入：Common Name (eg, your name or your server's hostname) []:ca.magedu.com
    如果是个人通信为自己的名字，如果是服务器为服务器主机名；
提示输入：Email Address []:caadmin@magedu.com


]# ls /etc/pki/CA/
查看要有certs crl newcerts这3个目录，如果没有要自行创建；



(3) 为CA提供所需的目录及文件；
]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
]# touch /etc/pki/CA/{serial,index.txt}
]# echo 01 > /etc/pki/CA/serial



在用到证书的服务器上操作：
1.创建一个目录存放主机的私钥；
2.生成私钥；
3.生成证书签署请求
4.将.csr文件请求通过可靠方式发送给CA主机；


步骤：（以httpd为例）
(1) 用到证书的主机生成私钥；
]# mkdir /etc/httpd/ssl
]# cd /etc/httpd/ssl
]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)


(2) 生成证书签署请求
]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

根据提示输入相关信息，完成即可；


提示输入：Country Name (2 letter code) [XX]:CN
提示输入：State or Province Name (full name) []:Beijing
提示输入：Locality Name (eg, city) [Default City]:Beijing
提示输入：Organization Name (eg, company) [Default Company Ltd]:MageEdu
提示输入：Organizational Unit Name (eg, section) []:Ops
提示输入：Common Name (eg, your name or your server's hostname) []:www.magedu.com
    此处一定要为客户端访问的地址；
提示输入：Email Address []:webadmin@magedu.com
提示输入：A challenge password []:可为空
提示输入：An optional company name []:可为空


(3) 将请求通过可靠方式发送给CA主机；
]# ls：生成一个httpd.csr文件，把此文件用可靠方式发送给CA主机；
实际应用时，是CA公司来人到现场取走文件；
实验环境，就是以scp命令，可实现两主机间复制文件；
]# scp httpd.csr root@172.18.250.131:/tmp/
  表示在本地复制httpd.csr文件，以远程主机172.18.250.131的root用户身份拷贝此文件到远程主机的/tmp/目录下
  输入yes，确认连接，再输入远程主机root用户的登录密码，即可复制完成；
就是实现了把httpd.csr文件拷贝的CA主机上；

(4) 在CA主机上签署证书；
]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
显示提示：Sign the certificate? [y/n]:y
显示提示：1 out of 1 certificate requests certified, commit? [y/n]y


把签署的证书httpd.crt发送给服务器主机：



在实验环境，还用scp两主机直接拷贝文件httpd.crt即可；
]# scp certs/httpd.crt root@172.18.252.23:/etc/httpd/ssl/
输入yes，确认连接，再输入远程主机root用户的登录密码，即可复制完成；


此时在服务器主机上的httpd.csr就没用了，可以删了；
在CA主机上的签署前的httpd.csr也没用了，也可以删了；
以上创建私有CA完成；


可在服务器主机或客户端主机上（只要有证书），都可查看证书；
]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

　　

　　二、nginx启用ssl
　　# vim /etc/nginx/conf.d/ssl.conf
　　server {
　　listen       443;
　　server_name  _;
　　

　　ssl                  on;
　　ssl_certificate      /etc/httpd/ssl/httpd.crt;
　　ssl_certificate_key  /etc/httpd/ssl/httpd.key;
　　

　　ssl_session_timeout  5m;
　　

　　ssl_protocols  SSLv2 SSLv3 TLSv1;
　　ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
　　ssl_prefer_server_ciphers   on;
　　

　　location / {
　　root   html;
　　index  index.html index.htm;
　　}
　　}
　　

　　测试两台web服务器80和443正常。
　　

　　三、添加iptables mangle
　　查看：
　　# iptables -t mangle -nvL --line-number
　　修改：
　　# iptables -t mangle -R  PREROUTING 2  -d 192.168.1.212 -p tcp --dport 443 -j MARK --set-mark 10
　　添加：

　　# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 80 -j MARK --set-mark 10
　　# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 80 -j MARK --set-mark 10
　　# iptables -t mangle -L -n -v
　　

　　

　　# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 443 -j MARK --set-mark 10
　　

　　配置ipvsadm
　　# ipvsadm -C
　　# ipvsadm -l -n
　　[root@192 ~]# ipvsadm -A -f 10 -s rr
　　[root@192 ~]# ipvsadm -a -f 10 -r 192.168.1.213  -m -w 2
　　[root@192 ~]# ipvsadm -a -f 10 -r 192.168.1.214  -m -w 2
　　

　　[root@192 ~]#  ipvsadm -E -f 10 -s rr -p