基于域名的7层转发的实现（NAT+反向代理）

作者：常思 | 来源：互联网 | 2023-05-17 21:13

在公司的实际办公网中，因为出口IP只有一个，要实现对外提供服务的话就必须得做端口映射，如果有多个服务要对外开放的话，这只能通过映射不同端口来区分，这在实际使用过程中非常的痛苦（记忆困难、

在公司的实际办公网中，因为出口IP只有一个，要实现对外提供服务的话就必须得做端口映射，如果有多个服务要对外开放的话，这只能通过映射不同端口来区分，这在实际使用过程中非常的痛苦（记忆困难、一一对应关系也没有规律、访问的时候还得加端口），这个痛苦的问题用表格的形式来形象的描述如下：

Public IP	Public Port Number	Internal IP	Internal Port Number	Note
1.1.1.1	80	192.168.1.10	80	service A
1.1.1.1	81	192.168.1.11	80	service B
1.1.1.1	8080	192.168.1.25	80	service C
1.1.1.1	443	192.168.1.26	443	service D
1.1.1.1	444	192.168.1.35	443	service E

在需要对外开放的服务很多的情况下，NAT的方式虽然难用、难记，但至少还是能够满足需求的（可用端口要小于65535个），但如果A、B、C服务都想（或者必须）使用默认的80、443端口的话，在只有一个公网IP的情况下是没法满足的，如果能有一种如下的实现方式，那就完美了：

Domain Name	Public IP	Public Port Number	Internal IP	Internal Port Number	Note
A.example.com	1.1.1.1	80	192.168.1.10	80	service A
B.example.com	1.1.1.1	80	192.168.1.11	80	service B
C.example.com	1.1.1.1	80	192.168.1.25	80	service C
D.example.com	1.1.1.1	443	192.168.1.26	443	service D
E.example.com	1.1.1.1	443	192.168.1.35	443	service E

首先来分析一下，传统NAT的话肯定是实现不了，因为NAT是3层ip加4层端口的方式做映射，而域名（如http header中）都属于7层的内容，要实现的话只能借助支持7层http协议解析的工具实现，经过一番研究发现反向代理可以实现，那太好了，反响代理的工具一大堆：squid、apache、nginx、haproxy、mysql proxy等等，本文仅讲基于http、https协议的实现，其他协议暂不讨论。

有了工具的支持，接下来就得考虑考虑如何部署的问题：

（1）域名解析到路由器的公网ip-->在路由器（pfsense）上安装squid-->配置反向代理(开启http、https反向代理、主机映射、域名正则匹配转发)-->成功实现（需要路由器支持）；

（2）域名解析到路由器的公网ip-->在路由器上做传统NAT，将80、443端口分别指向反向代理服务器-->配置反向代理服务器的-->成功实现（通用方法）；

其中第一个方法我已经很好的实现http的反向代理，但对于https，由于squid不支持SNI（server name Indication），仅能支持一个https站点，且很多公司用的路由器可能不支持安装squid软件，所以接下来我主要介绍通用的方法：通过在linux上安装nginx来搭建反向代理服务来支持基于域名的7层转发。

下载openssl库

wget http://www.openssl.org/source/openssl-1.0.1h.tar.gz

tar xzvf openssl-1.0.1h.tar.gz

mv openssl-1.0.1h /usr/local/openssl-1.0.1h/

下载nginx，编译时加入SNI的支持

yum install pcre pcre-devel

yum install zlib zlib-devel

wget http://nginx.org/download/nginx-1.6.0.tar.gz
tar xzvf nginx-1.6.0.tar.gz
cd nginx-1.6.0

./configure \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-openssl="/usr/local/openssl-1.0.1h/" \
--with-openssl-opt="enable-tlsext" \
--with-http_stub_status_module

make

make install

检查nginx的安装情况(关键TLS SNI support enabled)：

[root@svn ~]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.6.0
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-54)
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --with-http_ssl_module --with-openssl=/usr/local/openssl-1.0.1h/ --with-openssl-opt=enable-tlsext --with-http_stub_status_module

配置反向代理服务器：

[root@svn ~]# more /usr/local/nginx/conf/nginx.conf

############https server revese proxy
server {
listen 10010 ssl;
server_name app.wei.com;
#Set up your cert paths
ssl_certificate_key /usr/local/nginx/conf/ssl/app_wei.key;
ssl_certificate /usr/local/nginx/conf/ssl/app_wei.crt;

location / {
proxy_pass https://192.168.100.123;
}
}

server {
listen 10010 ssl;
server_name secure.wei.com;
#Set up your cert paths
ssl_certificate_key /usr/local/nginx/conf/ssl/mars-server.key;
ssl_certificate /usr/local/nginx/conf/ssl/mars-server.crt;

location / {
proxy_pass https://192.168.100.177:443;
}
}

############http server revese proxy
server {
listen 10086 ;
server_name secure.wei.com;

location / {
proxy_pass http://192.168.100.177;
}
}

server {
listen 10086 ;
server_name dobby.wei.com;

location / {
proxy_pass http://192.168.100.148;
}
}

路由器NAT映射：1.1.1.1:80-->反向代理的10086;1.1.1.1:443-->反向代理的10010

重启nginx就可以使用了，效果对客户端是完全透明的

➜ ~ curl -I https://app.wei.com
HTTP/1.1 200 OK
Server: nginx/1.6.0
Date: Sat, 26 Jul 2014 01:48:14 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.3.8

参考：

Using the Nginx Web Server as a Reverse Proxy: Multiple SSL Sites with a Single IP Address
http://www.informit.com/articles/article.aspx?p=1994795

[squid-users] Reverse proxy with multiple SSL sites

http://www.squid-cache.org/mail-archive/squid-users/201406/0102.html

SNI: 实现多域名虚拟主机的SSL/TLS认证

http://www.ttlsa.com/web/sni-multi-domain-virtual-host-ssl-tls-authentication/

http://www.ttlsa.com/web/multiple-https-host-nginx-with-a-ip-configuration/

推荐阅读

filter
centos6.8 下nginx1.10 安装

centos6.8 下nginx1.10 安装 ... [详细]

蜡笔小新 2023-10-17 17:21:05
go
Shodan搜索简单用法

Shodan简单用法Shodan简介Shodan是互联网上最可怕的搜索引擎，与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“ ... [详细]

蜡笔小新 2023-10-17 16:43:00
md5
基于PgpoolII的PostgreSQL集群安装与配置教程

本文介绍了基于PgpoolII的PostgreSQL集群的安装与配置教程。Pgpool-II是一个位于PostgreSQL服务器和PostgreSQL数据库客户端之间的中间件，提供了连接池、复制、负载均衡、缓存、看门狗、限制链接等功能，可以用于搭建高可用的PostgreSQL集群。文章详细介绍了通过yum安装Pgpool-II的步骤，并提供了相关的官方参考地址。 ... [详细]

蜡笔小新 2023-12-14 19:10:25
client
计算机网络初识及通信流程分析

本文介绍了计算机网络的定义和通信流程，包括客户端编译文件、二进制转换、三层路由设备等。同时，还介绍了计算机网络中常用的关键词，如MAC地址和IP地址。 ... [详细]

蜡笔小新 2023-12-13 16:50:29
client
ABAP开发发送邮件程序的配置和代码整理

本文介绍了通过ABAP开发往外网发邮件的需求，并提供了配置和代码整理的资料。其中包括了配置SAP邮件服务器的步骤和ABAP写发送邮件代码的过程。通过RZ10配置参数和icm/server_port_1的设定，可以实现向Sap User和外部邮件发送邮件的功能。希望对需要的开发人员有帮助。摘要长度：184字。 ... [详细]

蜡笔小新 2023-12-13 15:50:17
export
Linux如何安装Mongodb的详细步骤和注意事项

本文介绍了Linux如何安装Mongodb的详细步骤和注意事项，同时介绍了Mongodb的特点和优势。Mongodb是一个开源的数据库，适用于各种规模的企业和各类应用程序。它具有灵活的数据模式和高性能的数据读写操作，能够提高企业的敏捷性和可扩展性。文章还提供了Mongodb的下载安装包地址。 ... [详细]

蜡笔小新 2023-12-12 21:54:15
client
解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法，包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时，还介绍了修改nginx的error.log日志级别为debug，以便查看详细日志信息。 ... [详细]

蜡笔小新 2023-12-12 13:19:04
web
31.项目部署

目录1一些概念1.1项目部署1.2WSGI1.3uWSGI1.4Nginx2安装环境与迁移项目2.1项目内容2.2项目配置2.2.1DEBUG2.2.2STAT ... [详细]

蜡笔小新 2023-12-12 12:15:41
php
如何提高PHP编程技能及推荐高级教程

本文介绍了如何提高PHP编程技能的方法，推荐了一些高级教程。学习任何一种编程语言都需要长期的坚持和不懈的努力，本文提醒读者要有足够的耐心和时间投入。通过实践操作学习，可以更好地理解和掌握PHP语言的特异性，特别是单引号和双引号的用法。同时，本文也指出了只走马观花看整体而不深入学习的学习方式无法真正掌握这门语言，建议读者要从整体来考虑局部，培养大局观。最后，本文提醒读者完成一个像模像样的网站需要付出更多的努力和实践。 ... [详细]

蜡笔小新 2023-12-11 18:38:37
php
cisco路由器IOS恢复方法之ROMMON恢复的步骤详解

本文详细介绍了cisco路由器IOS损坏时的恢复方法，包括进入ROMMON模式、设置IP地址、子网掩码、默认网关以及使用TFTP服务器传输IOS文件的步骤。 ... [详细]

蜡笔小新 2023-12-11 14:14:49
web
svnWebUI：一款现代化的svn服务端管理软件

svnWebUI是一款图形化管理服务端Subversion的配置工具，适用于非程序员使用。它解决了svn用户和权限配置繁琐且不便的问题，提供了现代化的web界面，让svn服务端管理变得轻松。演示地址：http://svn.nginxwebui.cn:6060。 ... [详细]

蜡笔小新 2023-12-11 11:01:10
web
Nginx Buffer 机制引发的下载故障

Nginx ... [详细]

蜡笔小新 2023-10-17 19:28:42
web
Linux一键安装web环境全攻略

摘自阿里云服务器官网，此处一键安装包下载：点此下载安装须知1、此安装包可在阿里云所有Linux系统上部署安装，此安装包包含的软件及版本为& ... [详细]

蜡笔小新 2023-10-17 16:49:26
go
小雨伞 Go/Infra 开发岗位内推

有意向可以发简历到邮箱内推.简历直达组内Leader.能做同事的话,内推奖励全给你. ... [详细]

蜡笔小新 2023-10-17 16:45:35
uri
Linux之进程数和句柄数：linux句柄数含义

本文主要介绍关于linux文件描述符设置,centos7设置文件句柄数,centos7查看进程数的知识点，对【Linux之进程数和句柄数】和【linux句柄数含义】有兴趣的朋友可以看下由【东城绝神】投 ... [详细]

蜡笔小新 2023-10-17 14:36:29

常思

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章

基于域名的7层转发的实现（NAT+反向代理）

Using the Nginx Web Server as a Reverse Proxy: Multiple SSL Sites with a Single IP Address http://www.informit.com/articles/article.aspx?p=1994795

[squid-users] Reverse proxy with multiple SSL sites http://www.squid-cache.org/mail-archive/squid-users/201406/0102.html

SNI: 实现多域名虚拟主机的SSL/TLS认证

Using the Nginx Web Server as a Reverse Proxy: Multiple SSL Sites with a Single IP Address
http://www.informit.com/articles/article.aspx?p=1994795

[squid-users] Reverse proxy with multiple SSL sites

http://www.squid-cache.org/mail-archive/squid-users/201406/0102.html