V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
est
V2EX  ›  NGINX

听说你们很喜欢玩 SNI 反代?

  •  8
     
  •   est ·
    est · 2017-02-20 23:33:38 +08:00 · 15817 次点击
    这是一个创建于 2832 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. 安装 nginx 1.11.5 以上 mainline 版本
    2. /etc/nginx.conf顶部结构里粘贴如下语句:
    stream {
        server {
            listen 443;
            ssl_preread on;
            resolver 8.8.8.8;
            proxy_pass $ssl_preread_server_name:$server_port;
        }
    }
    

    如果这个 trick 没火星的话,你们试成功了赏个感谢吧 😂

    36 条回复    2017-07-01 11:25:36 +08:00
    notes
        1
    notes  
       2017-02-20 23:36:18 +08:00 via Android
    不明觉厉
    phoenixlzx
        2
    phoenixlzx  
       2017-02-20 23:54:21 +08:00
    感谢已发... 我当时折腾 sniproxy 的时候记得似乎文档都还很少,网上也没什么人关注

    就在期待 nginx 啥时候支持 sniproxy....
    DesignerSkyline
        3
    DesignerSkyline  
       2017-02-20 23:57:37 +08:00
    Excited!
    orzfly
        4
    orzfly  
       2017-02-21 00:03:58 +08:00
    Debian 源里 ssl_preread 也已经进入 experimental 状态啦: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=854214#15

    官网文档 https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html

    配合 map 超级有趣~

    map $ssl_preread_server_name $name {
    backend.example.com backend;
    default backend2;
    }
    lhbc
        5
    lhbc  
       2017-02-21 00:24:27 +08:00
    stream_module 非常好玩啊
    我们生产环境有用这个模块做四层 LB ,比 haproxy 好玩多了
    Love4Taylor
        6
    Love4Taylor  
       2017-02-21 00:43:29 +08:00 via Android
    感谢已发...这可真是太好了
    legendt
        7
    legendt  
       2017-02-21 00:47:35 +08:00
    需要 ngx_stream_ssl_preread_module , ppa mainline 里的居然不带
    jacy
        8
    jacy  
       2017-02-21 01:08:25 +08:00
    4 个 sniproxy 的 ip 被认证,损失惨重,不敢搭建了
    est
        9
    est  
    OP
       2017-02-21 08:15:55 +08:00
    @jacy 你跑了多大流量。。。
    pythonee
        10
    pythonee  
       2017-02-21 09:29:52 +08:00
    楼主不解释这个是什么东东吗
    est
        11
    est  
    OP
       2017-02-21 09:58:17 +08:00
    1135 次点击 ∙ 54 人收藏 ∙ 12 人感谢

    😂
    est
        12
    est  
    OP
       2017-02-21 09:58:51 +08:00   ❤️ 1
    围观群众,感兴趣群众和动手群众比例是:

    100 : 5 : 1
    matsuz
        13
    matsuz  
       2017-02-21 10:44:01 +08:00 via Android
    不加限制的代理很容易被扫描出来,然后。。。
    vjnjc
        14
    vjnjc  
       2017-02-21 11:08:48 +08:00
    看不懂👀
    whx20202
        15
    whx20202  
       2017-02-21 11:45:45 +08:00
    @Love4Taylor 能不能大概说一下 SNI 反代和普通的 https 反向代理有什么区别啊?
    我记得 proxy_pass 也是能反向代理的啊
    est
        16
    est  
    OP
       2017-02-21 12:08:25 +08:00   ❤️ 1
    @matsuz 加 port knocking 。
    est
        17
    est  
    OP
       2017-02-21 12:09:18 +08:00   ❤️ 1
    @whx20202 前者属于 tcp 镜像流复制,后者需要挂证书二次加解密
    whx20202
        18
    whx20202  
       2017-02-21 12:54:04 +08:00
    @est 明白了,这个可以干什么?
    我感觉至少可以保证代理的时候 http 页面的安全性 还有其他内容吗
    yoa1q7y
        19
    yoa1q7y  
       2017-02-21 13:51:59 +08:00
    nginx 真好玩啊,天天玩
    zen9073
        20
    zen9073  
       2017-02-21 16:10:03 +08:00
    nginx 这是要搞死 haproxy 的节奏啊
    wuruxu
        21
    wuruxu  
       2017-02-21 18:49:15 +08:00
    等空了试试 nginx ,以前用过 sniproxy ,不稳定,时间长了,就挂了
    zbinlin
        22
    zbinlin  
       2017-02-21 19:05:19 +08:00
    如果要用 sniproxy ,记得加上限制(验证),扫过香港的 ip ,发现有不少可以用的 sni proxy ip 呢。
    lhbc
        23
    lhbc  
       2017-02-21 19:06:02 +08:00 via iPhone
    @zen9073 显然超越 haproxy 了
    nginx 四层已经支持 TCP, UDP, SNI, SSL 卸载,还有 nginx-lua 加持
    ctsed
        24
    ctsed  
       2017-02-21 19:08:36 +08:00 via Android
    @zbinlin 请教一下如何加限制 控制来源 ip 吗
    zbinlin
        25
    zbinlin  
       2017-02-21 19:24:35 +08:00   ❤️ 1
    @ctsed @est 在 16 楼已经说了
    xdeng
        26
    xdeng  
       2017-02-21 19:42:57 +08:00
    看得一脸懵 x ,哪位高手讲解下。
    yuchenr
        27
    yuchenr  
       2017-02-22 09:30:54 +08:00
    @lhbc nginx 有想 haproxy 那样的监控页面吗?
    lslqtz
        28
    lslqtz  
       2017-02-22 09:53:55 +08:00 via iPhone
    非常感谢…
    lslqtz
        29
    lslqtz  
       2017-02-22 09:59:05 +08:00 via iPhone
    可以通过域名做限制,不过中间人做 https 认证更好玩
    lhbc
        30
    lhbc  
       2017-02-22 10:26:32 +08:00 via iPhone   ❤️ 1
    @yuchenr 你是指这个页面?
    http://tecadmin.net/how-to-configure-haproxy-statics/

    nginx Plus (商业版)有
    nginx 开源版有第三方插件: https://github.com/vozlt/nginx-module-vts
    插件目前还不支持 stream 模块,只支持 http 模块。作者表示后续会支持。
    majinjing3
        31
    majinjing3  
       2017-02-22 14:29:42 +08:00 via Android
    姿辞一下~
    est
        32
    est  
    OP
       2017-02-22 14:38:08 +08:00
    @lhbc nginx 有 stub_status on 不过没太大用处。

    nginx plus 有一堆。
    est
        33
    est  
    OP
       2017-02-23 23:16:45 +08:00
    git clone https

    可以用这个 trick 。
    Tink
        34
    Tink  
       2017-03-14 10:55:02 +08:00
    这个是干啥用的呀。。。
    esile
        35
    esile  
       2017-06-25 12:00:11 +08:00 via iPhone
    est 难得不水一回
    woyaojizhu8
        36
    woyaojizhu8  
       2017-07-01 11:25:36 +08:00
    用这个就不需要 sniproxy 了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2429 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:46 · PVG 23:46 · LAX 07:46 · JFK 10:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.