宝塔nginx stream模块的sni分流实现443端口复用
## 1. stream配置宝塔安装的nginx默认已经开启了stream模块,并且已经在主配置文件/www/server/nginx/conf/nginx.conf 中已经引入了,仅在默认配置文件中引入自定义配置。
```nginx
# nginx.conf
# ...其他配置不动
stream {
log_format tcp_format '$time_local|$remote_addr|$protocol|$status|$bytes_sent|$bytes_received|$session_time|$upstream_addr|$upstream_bytes_sent|$upstream_bytes_received|$upstream_connect_time';
access_log /www/wwwlogs/tcp-access.log tcp_format;
error_log /www/wwwlogs/tcp-error.log;
include /www/server/panel/vhost/nginx/tcp/*.conf;
# 引入自定义的stream.conf文件
include /www/server/nginx/conf/stream.conf;
#...其他配置不动
```
新建一个/www/server/nginx/conf/stream.conf文件专门配置stream,减少对原默认配置的修改。
```nginx
# stream.conf
# map将sni服务器名称(请求SSL证书的域名)映射为$backend(随便自己起啥名字都行)参数
# 下面配置的意思是,当sni为 www.你要伪装的域名.com 时映射为"reality"的自定义名称
# 其他协议可以自己加,然后剩余的其他域名 映射为 "web_backend"的自定义名称统一处理
map $ssl_preread_server_name $backend {
www.你要伪装的域名.com reality;
# 其他所有域名转发到网站服务
default web_backend;
}
# reality服务入栈端口
upstream reality {
server 127.0.0.1:25772;
}
# 用其他一个非443端口统一处理你正常的网站
upstream web_backend {
server 127.0.0.1:25773;
}
server {
# 复用443端口配置
listen 443 reuseport;
# 根据sni分流到不同的负载均衡处理器
proxy_pass $backend;
# 获取TLS握手信息,也就是可以获取SNI的信息用于分流
ssl_preread on;
# 开启代理协议,获取客户端的真实信息
proxy_protocolon;
}
# udp转发到443
server {
listen 443 udp;
proxy_pass 127.0.0.1:443;
}
```
## 2. 自己正常网站反代的处理
#### 2.1 随便生成一个自签证书
```shell
mkdir /www/server/panel/vhost/cert/0.default && cd /www/server/panel/vhost/cert/0.default
```
生成自签证书
```shell
openssl genrsa -out privkey.pem 2048
```
随便生成一个10年的证书(这个证书只用于默认的拒绝服务器块(返回444)证书不会被实际的 HTTPS 连接使用,因为真实的域名都会匹配到它们自己的服务器块和证书。即使过期也不会影响实际网站的运行。)
```shell
openssl req -new -x509 -key privkey.pem -out fullchain.pem -days 3650 -subj "/CN=default.local"
```
#### 2.2 接管正常网站所在配置文件目录的https流量
为了不重复修改每个反代网站的配置文件中的很多配置,修改/www/server/panel/vhost/nginx/0.default.conf ,因为0.default.conf 在字母顺序上排在最前面,这样它会被最先加载
```nginx
# 0.default.conf
# 处理 HTTP 流量
server {
listen 80;
server_name _;
index index.html;
root /www/server/nginx/html;
}
# 处理 HTTPS 流量
server {
listen 25773 ssl http2 quic proxy_protocol;
listen [::]:25773 ssl quic http2 proxy_protocol;
# _是一个特殊的通配符标记,表示这是一个默认服务器块,当请求的 Host 头不匹配任何其他 server_name 时,请求会被这个默认服务器处理,通常用于处理未知域名的访问请求
server_name _;
# SSL 证书配置 - 使用一个默认证书
ssl_certificate /www/server/panel/vhost/cert/0.default/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/0.default/privkey.pem;
# 因为启用了 proxy_protocol,下面两行识别客户端的真实 IP
set_real_ip_from 127.0.0.1; # 告诉 Nginx 从哪个 IP 来的流量可以信任其 proxy_protocol 头 stream 模块(监听在 443)和 http 模块(监听在 25773)之间的本地转发
real_ip_header proxy_protocol;
return 444;# 拒绝未知域名的 HTTPS 请求
}
```
#### 2.3 修改具体网站的配置文件
```nginx
# 删除下面这两行
listen 443 ssl;
listen 443 quic;
```
#### 2.4 完
重载nginx配置文件 学习一下,顺便捞点积分升级{:5_148:}
页:
[1]