同一のポートで複数のデーモンを待ち受けるには？

ひと昔前は、ちょっと知っている人しかポート転送なんてことをしませんでしたが、最近は子供でも当たり前のようになっています。
今回は、ポート転送する時にセキュリティを考慮した小技です。

本ページはこんな方におすすめ

一つのポートを他サービスでも使いたい
ポート開放は最低限にしたい
443 ポートしか解放できない

なぜ一つのポートを使いまわす？

インターネットの通信、特に TCP/IP プロトコルはアドレスとポートで通信を行います。
アドレスはいわゆる IP アドレスのことで、ポートは http ポートとか、アプリによってデフォルトが違います。

例えば、ポート 23 番は telnet、70 番は Gopher など、定番が決まっています。もっとも有名なのが http の 80 番です。
https の 443 番もここ最近は常識ですね。

サーバー利用の計算機のくせに、ブラウザから https アクセスできないというのも奇妙ですので、多くのサーバーは、https についてはアクセス制限をつけずに接続を受け付ける設定にしています。つまり、443 番は比較的すべてのサーバー、機器で解放しているケースが多いです。

その一方で、セキュリティ的な理由で Dos 攻撃対策なども含めて、それ以外の他のポートはアクセス制限を付けた初期設定をしていることが多いです。そのため、https の 443 番しか解放できない、場合によっては解放したくないケースが発生します。

ここで、「443 番ポートを複数のサービスで使いまわせたらな」と思い始めます。
443 番で ssh と https を使う設定をやってみます。

Ubuntu に sslh をインストールする

Ubuntu

設定環境

Linux 5.15.0-71-generic #78-Ubuntu SMP Tue Apr 18 09:00:29 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux

 bash
ubu@ntu:~$ sudo apt install sslh

sslh は一つのポートで複数のサービスを待ち受けるデーモンです。
これを利用して sslh が対応しているデーモンを 443 ポートだけで待ち受けることができます（同時）。

対応しているデーモンは、HTTPS、SSH、OpenVPN、tinc と XMPP です。

sslh を設定する

sslh のデフォルトの設定ファイルは、Ubuntu の場合 /etc/default/sslh にあります。

 bash
# /etc/default/sslh
# Default options for sslh initscript
# sourced by /etc/init.d/sslh
# binary to use: forked (sslh) or single-thread (sslh-select) version
# systemd users: don't forget to modify /lib/systemd/system/sslh.service
DAEMON=/usr/sbin/sslh
DAEMON_OPTS="--user sslh --listen <change-me>:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile /var/run/sslh/sslh.pid"

変更する点は <change-me> だけです。ここをサーバーの NIC のアドレスに変更します。というか、サーバーを立ち上げたいアドレスに変更します。Wi-Fi ルーターからローカル IP を受けっとっている場合は、その IP アドレスを使います。

そして、後からそのルーターのポート転送を設定します。

既存の https サービスをローカルホストだけにバインドしなおす

多くの web サーバーは、例えばマシンＡで動かしたら、そのマシンの持つ IP アドレスと localhost にバインドされれるようになっています。
例えば、マシンＡの IP アドレスが 192.168.1.10 なら、https://192.168.1.10 だけでなく、https://120.0.0.1 や https://localhost などでもアクセスできます。

注意

localhost と 127.0.0.1 はホスト名と IP アドレスの関係ですので、どちらを指定しても問題ありません。IP アドレス指定の方が、どちらかと言えばおすすめです。

先ほどの設定ファイルに倣うと、すでにウェブサーバーなとせの設定が済んでいる場合は、起動アドレスを 127.0.0.1 にだけバインドする必要があります。つまり、

sslh を使うので、今回のウェブサーバー（sslh を起動する前に準備することとしては）は、

https://192.168.1.10 へのアクセスは×
https://localhost (https://127.0.0.1) へのアクセスだけ○

に設定しなおします。

つまり、sslh へのアクセスを https://192.168.1.10 とやりたいので、すでに https サーバーが起動している場合は、アドレスを 127.0.0.1 に限定して起動すべしという意味になります。

httpd の待ち受けを変更

apache の場合

 bash
ubu@ntu:$ cat /etc/apache2/ports.conf
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf
Listen 80

        Listen 127.0.0.1:443


        Listen 127.0.0.1:443

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Nginx の場合

Nginx の場合は、 nginx.conf を書き換えます。

 bash
        listen       127.168.100.217:80;        #80;
        server_name  192.168.100.217;   #localhost;

sshd の待ち受けを変更

 bash
# /etc/ssh/sshd_config
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
～（途中略）～
Port 22
#AddressFamily any
ListenAddress 127.0.0.1
#ListenAddress ::
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key
# Ciphers and keying
#RekeyLimit default none
（以下略）

OpenVPN も sslh に預けてしまおう

OpenVPN にも sslh は対応しているので、sslh の 443 番ポートを利用することができます。

設定ファイル（openvpn.conf）を開きサーバーを localhost だけで起動します。
変更するのは、udp で起動ではなく tcp に変更するのがポイントです。

 bash
# 設定変更の例
# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d
local 127.0.0.1
# port number than the default of 1194.
port 1194
# Choose one of three protocols supported by
# OpenVPN.  If left commented out, defaults
# to udp.
; proto [tcp-server | tcp-client | udp]
proto tcp