分享一个用Nginx TLS隧道+ssl_preread实现单端口无限复用的方法

夜桜 · 发表于 2022-12-1 13:15:20

先说有什么用：
省流版：完全没用。

不省流版：
比如你买了一个NAT VPS，而他只给你10个端口，你嫌不够用。
用这个方法可以一个端口无限复用
限制就是需要一台有多个端口的机器中转

原理就是使用2台VPS，都安装了Nginx然后两者之间搭建了TLS隧道。

直接上配置举个例子，中转机配置

stream {
server {
listen 50001;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name ssh.example.com;
proxy_pass 123.123.123.123:12345;
}
server {
listen 50002;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name netcat.example.com;
proxy_pass 123.123.123.123:12345;
}
server {
listen 50003;
proxy_ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_ssl_server_name on;
proxy_ssl_name web.example.com;
proxy_pass 123.123.123.123:12345;
}
}

复制代码

目标落点机配置

stream {
resolver 1.1.1.1 8.8.8.8 [2606:4700:4700::1111] [2001:4860:4860::8888] valid=300s;
resolver_timeout 10s;
map_hash_bucket_size 64;
map $ssl_preread_server_name $proxy_pass_target {
ssh.example.com 127.0.0.1:50001;
netcat.example.com 127.0.0.1:50002;
web.example.com 127.0.0.1:50003;
default 127.0.0.1:65535;
}
server {
listen 12345;
ssl_preread on;
proxy_pass $proxy_pass_target;
}
server {
listen 127.0.0.1:50001 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:22;
}
server {
listen 127.0.0.1:50002 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:123;
}
server {
listen 127.0.0.1:50003 ssl;
ssl_certificate /usr/local/nginx/conf/ssl/example.com/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/example.com/example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass 127.0.0.1:443;
}
}

复制代码

在以上例子中，
中转机的50001、50002、50003端口分别对应了目标机器的ssh, netcat, https web服务。
连接到中转机的50001、50002、50003端口后，分别添加不同的proxy_ssl_name，
然后中转到落地目标机器的12345端口。
经过目标机器识别不同的ssl_preread_server_name后分别转到目标机器的50001、50002、50003端口
然后卸掉ssl，再中转到对应的服务端口。

这个功能的重点是ssl_preread_server_name这个功能，
如果你看懂了以上配置，对以上例子进行举一反三后，可以在落地机器搭配多个map ssl_preread_server_name proxy_pass_target块实现更多功能，
以及中转机和落地机器使用proxy_protocol进行源IP的传递。
比如：使用2个map ssl_preread_server_name块，同时将一台机器的443端口作为网站服务器与(指定域名的)反代服务器。
不过我想这个功能你们也应该不需要就不贴配置了，非常的长就是了。

如果你看完还不知道到底有什么用就说明你根本不需要这个功能。
反正我自己用了好多年了，非常好用~~~

特别提一嘴：这个功能不是让你来单端口复用梯子的，TLS隧道不防墙，不要瞎揣测，不用试。

G.K.D · 发表于 2022-12-1 13:34:18

阅读权限 1 有什么用？

省流版：完全没用。
不省流版：
阅读权限 1 游客都能看，最低阅读权限 10 才能拦住游客，但也会拦住神仙~

supervps · 发表于 2022-12-1 13:26:50

6 我喜欢省流版

Myan · 发表于 2022-12-1 13:27:02

作用就是：完全没用可把我乐坏了

spr1ng · 发表于 2022-12-1 13:27:57

说的好

sagit · 发表于 2022-12-1 13:28:45

为楼主点赞，一颗爱分享的心。

fjm · 发表于 2022-12-1 13:33:54

一眼就看到省流版

bannelu · 发表于 2022-12-1 13:35:37

技术贴绑定

larry · 发表于 2022-12-1 13:56:25

跟一个端口配多个server_name有什么区别？
看完之后果然是：完全没用。

35954514 · 发表于 2022-12-1 14:00:28

大佬，能不能实现：在一台中转机上，根据不同的域名进行转发，登陆不同服务器的远程桌面，即RDP
比如：
a.com 转发到 1.1.1.1:3389
b.com 转发到 2.2.2.2:3389
c.com 转发到 3.3.3.3:3389

这样，我只需要在远程桌面地址栏输入域名就登陆对应的服务器了。现在我用的是加端口号的方式，比较麻烦。

		自动登录	找回密码
密码			注册

[nginx] 分享一个用Nginx TLS隧道+ssl_preread实现单端口无限复用的方法

评分

点评