全球主机交流论坛
标题:
分享一个用Nginx TLS隧道+ssl_preread实现单端口无限复用的方法
[打印本页]
作者:
夜桜
时间:
2022-12-1 13:15
标题:
分享一个用Nginx TLS隧道+ssl_preread实现单端口无限复用的方法
先说有什么用:
省流版:
完全没用
。
不省流版:
比如你买了一个NAT VPS,而他只给你10个端口,你嫌不够用。
用这个方法可以一个端口无限复用
限制就是需要一台有多个端口的机器中转
原理就是使用2台VPS,都安装了Nginx然后两者之间搭建了TLS隧道。
直接上配置举个例子,中转机配置
stream {
server {
listen 50001;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name ssh.example.com;
proxy_pass 123.123.123.123:12345;
}
server {
listen 50002;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name netcat.example.com;
proxy_pass 123.123.123.123:12345;
}
server {
listen 50003;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name web.example.com;
proxy_pass 123.123.123.123:12345;
}
}
复制代码
目标落点机配置
stream {
resolver 1.1.1.1 8.8.8.8 [2606:4700:4700::1111] [2001:4860:4860::8888] valid=300s;
resolver_timeout 10s;
map_hash_bucket_size 64;
map $ssl_preread_server_name $proxy_pass_target {
ssh.example.com 127.0.0.1:50001;
netcat.example.com 127.0.0.1:50002;
web.example.com 127.0.0.1:50003;
default 127.0.0.1:65535;
}
server {
listen 12345;
ssl_preread on;
proxy_pass $proxy_pass_target;
}
server {
listen 127.0.0.1:50001 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:22;
}
server {
listen 127.0.0.1:50002 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:123;
}
server {
listen 127.0.0.1:50003 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:443;
}
}
复制代码
在以上例子中,
中转机的50001、50002、50003端口分别对应了目标机器的ssh, netcat, https web服务。
连接到中转机的50001、50002、50003端口后,分别添加不同的proxy_ssl_name,
然后中转到落地目标机器的12345端口。
经过目标机器识别不同的ssl_preread_server_name后分别转到目标机器的50001、50002、50003端口
然后卸掉ssl,再中转到对应的服务端口。
这个功能的重点是ssl_preread_server_name这个功能,
如果你看懂了以上配置,对以上例子进行举一反三后,可以在落地机器搭配
多个
map ssl_preread_server_name proxy_pass_target块实现更多功能,
以及中转机和落地机器使用proxy_protocol进行源IP的传递。
比如:使用
2个
map ssl_preread_server_name块,同时将一台机器的443端口作为网站服务器与(指定域名的)反代服务器。
不过我想这个功能你们也应该不需要就不贴配置了,非常的长就是了。
如果你看完还不知道到底有什么用就说明你根本不需要这个功能。
反正我自己用了好多年了,非常好用~~~
特别提一嘴:这个功能不是让你来单端口复用梯子的,TLS隧道不防墙,不要瞎揣测,不用试。
作者:
supervps
时间:
2022-12-1 13:26
6 我喜欢省流版
作者:
Myan
时间:
2022-12-1 13:27
作用就是:完全没用 可把我乐坏了
作者:
spr1ng
时间:
2022-12-1 13:27
说的好
作者:
sagit
时间:
2022-12-1 13:28
为楼主点赞,一颗爱分享的心。
作者:
fjm
时间:
2022-12-1 13:33
一眼就看到省流版
作者:
G.K.D
时间:
2022-12-1 13:34
阅读权限 1 有什么用?
省流版:
完全没用
。
不省流版:
阅读权限 1 游客都能看,最低阅读权限 10 才能拦住游客,但也会拦住神仙~
作者:
bannelu
时间:
2022-12-1 13:35
技术贴绑定
作者:
larry
时间:
2022-12-1 13:56
跟一个端口配多个server_name有什么区别?
看完之后果然是:
完全没用
。
作者:
35954514
时间:
2022-12-1 14:00
大佬,能不能实现:在一台中转机上,根据不同的域名进行转发,登陆不同服务器的远程桌面,即RDP
比如:
a.com 转发到 1.1.1.1:3389
b.com 转发到 2.2.2.2:3389
c.com 转发到 3.3.3.3:3389
这样,我只需要在远程桌面地址栏输入域名就登陆对应的服务器了。现在我用的是加端口号的方式,比较麻烦。
作者:
IDC888
时间:
2022-12-1 17:03
stunnel好像也可以同一个端口 通过不同域名判别 转发到不同的目的ip 端口
作者:
gaoji.me
时间:
2022-12-1 17:08
这不就是SNI
欢迎光临 全球主机交流论坛 (https://91ai.net/)
Powered by Discuz! X3.4
这不就是SNI