Безопасно ли использовать панель 3x-ui без сертификата?

Question

[6u6a_u_6o6a]

Насколько вероятно, что при подключении к незащищенной панели 3x-ui пароль перехватят?
Что сделать, чтобы безопасно к ней подключиться (помимо сертификата)?
Заранее спасибо!

Comments

[Ziptar]

Что сделать, чтобы безопасно к ней подключиться (помимо сертификата)?

Поднять впн до сервера, и открывать панель через впн. Или, там, ssh туннель. Но зачем, когда проще сделать сертификат?

[Дмитрий Кузнецов]

А в чём проблема сделать сертификат? Бесплатно, без регистрации и смс - certbot.

Answer 1

[Billander]

Будет использоваться http.
Проще через iptables заблокировать все что не нужно в том числе и панель, подключаться к ней через проброс порта в ssh.
Например так

ssh -L [порт локальный]:localhost:[порт 3x-ui] логин@[ip сервера]

Comments

[6u6a_u_6o6a]

Спасибо большое, вечером проверю!

[OrtoXylene]

честно пытался так сделать, заставив панель слушать 127.0.0.1 и каждый раз приходилось переустанавливать её, никак не смог я через SSH подключиться к локалхосту сервера. Прошу привести пример подробнее.
Я подключаюсь через SSH к VPS с панелью, ввожу команду в терминале на сервере или где? и какой синтаксис?

[Billander]

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

#разрешающее правило для loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#разрешаем уже установленные соединения
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT           # ssh

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

Запретите доступ по паролю, оставьте вход только по ключам.
ssh -L 8080:localhost:6580 user@1.1.1.1 -N
-L = тип тоннеля (local)
-N = подавить выполнение дальнейших команд в этом терминале

После подключения через ssh, в браузере в адресной строке
http://localhost:8080/

Answer 2

[Drno]

в целом - относительно безопасно
сертификат можно получить бесплатно используя бесплатный letsNcrypt и sslip.io

Comments

[6u6a_u_6o6a]

Сертификат лень натягивать, но если альтернативных безопасных вариантов не будет, то придётся воспользоваться вашими советами, спасибо!

[Drno]

6u6a_u_6o6a, я без него пользуюсь, пока проблем не было...