flyzy博客
先说有什么用:
省流版:完全没用。
不省流版:
比如你买了一个NAT VPS,而他只给你10个端口,你嫌不够用。
用这个方法可以一个端口无限复用
限制就是需要一台有多个端口的机器中转
原理就是使用2台VPS,都安装了Nginx然后两者之间搭建了TLS隧道。
直接上配置举个例子,中转机配置 stream { server { listen 50001; proxy_ssl on; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_ssl_server_name on; proxy_ssl_name ssh.example.com; proxy_pass 123.123.123.123:12345; } server { listen 50002; proxy_ssl on; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_ssl_server_name on; proxy_ssl_name netcat.example.com; proxy_pass 123.123.123.123:12345; } server { listen 50003; proxy_ssl on; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_ssl_server_name on; proxy_ssl_name web.example.com; proxy_pass 123.123.123.123:12345; } }复制代码
目标落点机配置 stream { resolver 1.1.1.1 8.8.8.8 [2606:4700:4700::1111] [2001:4860:4860::8888] valid=300s; resolver_timeout 10s; map_hash_bucket_size 64; map $ssl_preread_server_name $proxy_pass_target { ssh.example.com 127.0.0.1:50001; netcat.example.com 127.0.0.1:50002; web.example.com 127.0.0.1:50003; default 127.0.0.1:65535; } server { listen 12345; ssl_preread on; proxy_pass $proxy_pass_target; } server { listen 127.0.0.1:50001 ssl; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_pass 127.0.0.1:22; } server { listen 127.0.0.1:50002 ssl; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_pass 127.0.0.1:123; } server { listen 127.0.0.1:50003 ssl; ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer; ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; proxy_pass 127.0.0.1:443; } } 复制代码
在以上例子中,
中转机的50001、50002、50003端口分别对应了目标机器的ssh, netcat, https web服务。
连接到中转机的50001、50002、50003端口后,分别添加不同的proxy_ssl_name,
然后中转到落地目标机器的12345端口。
经过目标机器识别不同的ssl_preread_server_name后分别转到目标机器的50001、50002、50003端口
然后卸掉ssl,再中转到对应的服务端口。
这个功能的重点是ssl_preread_server_name这个功能,
如果你看懂了以上配置,对以上例子进行举一反三后,可以在落地机器搭配多个map ssl_preread_server_name proxy_pass_target块实现更多功能,
以及中转机和落地机器使用proxy_protocol进行源IP的传递。
比如:使用2个map ssl_preread_server_name块,同时将一台机器的443端口作为网站服务器与(指定域名的)反代服务器。
不过我想这个功能你们也应该不需要就不贴配置了,非常的长就是了。
如果你看完还不知道到底有什么用就说明你根本不需要这个功能。
反正我自己用了好多年了,非常好用~~~
特别提一嘴:这个功能不是让你来单端口复用梯子的,TLS隧道不防墙,不要瞎揣测,不用试。
山东省网友说:阅读权限 1 有什么用?
省流版:完全没用。
不省流版:
阅读权限 1 游客都能看,最低阅读权限 10 才能拦住游客,但也会拦住神仙~
福建省网友说:6 我喜欢省流版
台湾省网友说:作用就是:完全没用 可把我乐坏了
四川省网友说:说的好
福建省网友说:为楼主点赞,一颗爱分享的心。
浙江省网友说:一眼就看到省流版
江西省网友说:技术贴绑定
陕西省网友说:跟一个端口配多个server_name有什么区别?
看完之后果然是:完全没用。
台湾省网友说:大佬,能不能实现:在一台中转机上,根据不同的域名进行转发,登陆不同服务器的远程桌面,即RDP
比如:
a.com 转发到 1.1.1.1:3389
b.com 转发到 2.2.2.2:3389
c.com 转发到 3.3.3.3:3389
这样,我只需要在远程桌面地址栏输入域名就登陆对应的服务器了。现在我用的是加端口号的方式,比较麻烦。
