首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

基于域名的7层转发的实现(NAT+反向代理)

作者:常思 | 来源:互联网 | 2023-05-17 21:13
在公司的实际办公网中,因为出口IP只有一个,要实现对外提供服务的话就必须得做端口映射,如果有多个服务要对外开放的话,这只能通过映射不同端口来区分,这在实际使用过程中非常的痛苦(记忆困难、

       在公司的实际办公网中,因为出口IP只有一个,要实现对外提供服务的话就必须得做端口映射,如果有多个服务要对外开放的话,这只能通过映射不同端口来区分,这在实际使用过程中非常的痛苦(记忆困难、一一对应关系也没有规律、访问的时候还得加端口),这个痛苦的问题用表格的形式来形象的描述如下:

Public IP

Public Port Number

Internal IP

Internal Port Number

Note

1.1.1.1

80

192.168.1.10

80

service A

1.1.1.1

81

192.168.1.11

80

service B

1.1.1.1

8080

192.168.1.25

80

service C

1.1.1.1

443

192.168.1.26

443

service D

1.1.1.1

444

192.168.1.35

443

service E

在需要对外开放的服务很多的情况下,NAT的方式虽然难用、难记,但至少还是能够满足需求的(可用端口要小于65535个),但如果A、B、C服务都想(或者必须)使用默认的80、443端口的话,在只有一个公网IP的情况下是没法满足的,如果能有一种如下的实现方式,那就完美了:

Domain Name

Public IP

Public Port Number

Internal IP

Internal Port Number

Note

A.example.com

1.1.1.1

80

192.168.1.10

80

service A

B.example.com

1.1.1.1

80

192.168.1.11

80

service B

C.example.com

1.1.1.1

80

192.168.1.25

80

service C

D.example.com

1.1.1.1

443

192.168.1.26

443

service D

E.example.com

1.1.1.1

443

192.168.1.35

443

service E

      首先来分析一下,传统NAT的话肯定是实现不了,因为NAT是3层ip加4层端口的方式做映射,而域名(如http header中)都属于7层的内容,要实现的话只能借助支持7层http协议解析的工具实现,经过一番研究发现反向代理可以实现,那太好了,反响代理的工具一大堆:squid、apache、nginx、haproxy、mysql proxy等等,本文仅讲基于http、https协议的实现,其他协议暂不讨论。

      有了工具的支持,接下来就得考虑考虑如何部署的问题:

(1)域名解析到路由器的公网ip-->在路由器(pfsense)上安装squid-->配置反向代理(开启http、https反向代理、主机映射、域名正则匹配转发)-->成功实现(需要路由器支持);

(2)域名解析到路由器的公网ip-->在路由器上做传统NAT,将80、443端口分别指向反向代理服务器-->配置反向代理服务器的-->成功实现(通用方法);


其中第一个方法我已经很好的实现http的反向代理,但对于https,由于squid不支持SNI(server name Indication),仅能支持一个https站点,且很多公司用的路由器可能不支持安装squid软件,所以接下来我主要介绍通用的方法:通过在linux上安装nginx来搭建反向代理服务来支持基于域名的7层转发。

下载openssl库

wget http://www.openssl.org/source/openssl-1.0.1h.tar.gz

tar xzvf openssl-1.0.1h.tar.gz

mv openssl-1.0.1h  /usr/local/openssl-1.0.1h/

下载nginx,编译时加入SNI的支持

yum install  pcre pcre-devel

yum install zlib zlib-devel

wget http://nginx.org/download/nginx-1.6.0.tar.gz
 tar xzvf nginx-1.6.0.tar.gz
 cd nginx-1.6.0

./configure \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-openssl="/usr/local/openssl-1.0.1h/" \
--with-openssl-opt="enable-tlsext" \
--with-http_stub_status_module

make

make install

检查nginx的安装情况(关键TLS SNI support enabled):

[root@svn ~]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.6.0
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-54)
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --with-http_ssl_module --with-openssl=/usr/local/openssl-1.0.1h/ --with-openssl-opt=enable-tlsext --with-http_stub_status_module


配置反向代理服务器:

[root@svn ~]# more /usr/local/nginx/conf/nginx.conf

############https server revese proxy
server {
        listen       10010 ssl;
        server_name  app.wei.com;
    #Set up your cert paths
        ssl_certificate_key  /usr/local/nginx/conf/ssl/app_wei.key;
        ssl_certificate        /usr/local/nginx/conf/ssl/app_wei.crt;

location / {
        proxy_pass   https://192.168.100.123;
}
    }


server {
        listen       10010 ssl;
        server_name  secure.wei.com;
    #Set up your cert paths
        ssl_certificate_key  /usr/local/nginx/conf/ssl/mars-server.key;
        ssl_certificate         /usr/local/nginx/conf/ssl/mars-server.crt;

location / {
        proxy_pass   https://192.168.100.177:443;
}
    }

############http server revese proxy
server {
        listen       10086 ;
        server_name  secure.wei.com;

location / {
        proxy_pass   http://192.168.100.177;
}
    }


server {
        listen       10086 ;
        server_name  dobby.wei.com;

location / {
        proxy_pass   http://192.168.100.148;
}
    }


路由器NAT映射:1.1.1.1:80-->反向代理的10086;1.1.1.1:443-->反向代理的10010

重启nginx就可以使用了,效果对客户端是完全透明的

➜  ~  curl -I https://app.wei.com
HTTP/1.1 200 OK
Server: nginx/1.6.0
Date: Sat, 26 Jul 2014 01:48:14 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.3.8


参考:

Using the Nginx Web Server as a Reverse Proxy: Multiple SSL Sites with a Single IP Address

http://www.informit.com/articles/article.aspx?p=1994795

 [squid-users] Reverse proxy with multiple SSL sites

http://www.squid-cache.org/mail-archive/squid-users/201406/0102.html


SNI: 实现多域名虚拟主机的SSL/TLS认证

http://www.ttlsa.com/web/sni-multi-domain-virtual-host-ssl-tls-authentication/

http://www.ttlsa.com/web/multiple-https-host-nginx-with-a-ip-configuration/


推荐阅读
  • apache

    如何查看PHP网站及其源码

    本文介绍了如何查看PHP网站及其源码的方法,包括环境搭建、本地测试、源码查看和在线查找等步骤。 ... [详细]
  • apache

    Web服务器与MySQL服务器分离配置疑问

    在将Web服务器和MySQL服务器分离的情况下,是否需要在Web服务器上安装MySQL?如果安装了MySQL,如何解决PHP连接MySQL服务器时出现的连接失败问题? ... [详细]
  • post

    网站访问全流程解析

    网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • client

    使用JDBC实现ActiveMQ消息持久化机制深入解析

    本文深入解析了通过JDBC实现ActiveMQ消息持久化的机制。JDBC能够将消息可靠地存储在多种关系型数据库中,如MySQL、SQL Server、Oracle和DB2等。采用JDBC持久化方式时,数据库会自动生成三个关键表:`activemq_msgs`、`activemq_lock`和`activemq_ACKS`,分别用于存储消息数据、锁定信息和确认状态。这种机制不仅提高了消息的可靠性,还增强了系统的可扩展性和容错能力。 ... [详细]
  • client

    如何通过登录PHP网站实现校园内外差异化访问:内部免费而外部需付费

    该大学网站采用PHP和MySQL技术,在校内可免费访问某些外部收费资料数据库。为了方便学生校外访问,建议通过学校账号登录实现免费访问。具体方案可包括利用学校服务器作为代理,结合身份验证机制,确保合法用户在校外也能享受免费资源。 ... [详细]
  • client

    深入解析OSI七层架构与TCP/IP协议体系

    深入解析OSI七层架构与TCP/IP协议体系
    本文详细探讨了OSI七层模型(Open System Interconnection,开放系统互连)及其与TCP/IP协议体系的关系。OSI模型将网络通信过程划分为七个层次,每个层次负责不同的功能,从物理层到应用层逐步实现数据传输和处理。通过对比分析,本文揭示了OSI模型与TCP/IP协议在结构和功能上的异同,为理解现代网络通信提供了全面的视角。 ... [详细]
  • main

    Go Echo 框架入门指南【1】

    本文介绍了 Go 语言中的高性能、可扩展、轻量级 Web 框架 Echo。Echo 框架简单易用,仅需几行代码即可启动一个高性能 HTTP 服务。 ... [详细]
  • client

    Nacos 0.3 数据持久化详解与实践

    Nacos 0.3 数据持久化详解与实践
    本文详细介绍了如何将 Nacos 0.3 的数据持久化到 MySQL 数据库,并提供了具体的步骤和注意事项。 ... [详细]
  • client

    PHP 5.5.31 和 PHP 5.6.17 安全更新发布

    PHP 5.5.31 和 PHP 5.6.17 安全更新发布
    PHP 5.5.31 和 PHP 5.6.17 已正式发布,主要包含多个安全修复。强烈建议所有用户尽快升级至最新版本以确保系统安全。 ... [详细]
  • client

    HTTP header 介绍

    HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写,它用于传送www方式的数据。HTTP协议采用了请求响应模型。客服端向服务器发送一 ... [详细]
  • export

    用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS

    用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • string

    Spring Boot 中配置全局文件上传路径并实现文件上传功能

    Spring Boot 中配置全局文件上传路径并实现文件上传功能
    本文介绍如何在 Spring Boot 项目中配置全局文件上传路径,并通过读取配置项实现文件上传功能。通过这种方式,可以更好地管理和维护文件路径。 ... [详细]
  • export

    如何在Linux服务器上配置MySQL和Tomcat的开机自动启动

    如何在Linux服务器上配置MySQL和Tomcat的开机自动启动
    在Linux服务器上部署Web项目时,通常需要确保MySQL和Tomcat服务能够随系统启动而自动运行。本文将详细介绍如何在Linux环境中配置MySQL和Tomcat的开机自启动,以确保服务的稳定性和可靠性。通过合理的配置,可以有效避免因服务未启动而导致的项目故障。 ... [详细]
  • input

    在PHP中如何正确调用JavaScript变量及定义PHP变量的方法详解

    在PHP中如何正确调用JavaScript变量及定义PHP变量的方法详解 ... [详细]
  • hash

    Nginx负载均衡常用算法与策略详解

    Nginx不仅是一款轻量级的高性能Web服务器,还具备出色的负载均衡和反向代理功能。它支持复杂的正则匹配规则、动静内容分离以及灵活的URL重写功能,使得配置和管理更加便捷高效。此外,Nginx提供了多种负载均衡算法,如轮询、加权轮询、最少连接数等,以满足不同应用场景的需求。 ... [详细]
author-avatar
常思
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有