nginx转发tls和tcp

已于 2023-01-31 13:48:27 修改
阅读量1.1k 收藏 1
点赞数
文章标签: nginx tcp/ip lua
于 2022-11-01 11:03:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Richelieu_/article/details/127629891
版权

nginx转发tls和tcp

使用的版本是1.22.0

转发tcp

获取前4字节 判断转发。peek只是看一眼,不会把流数据读出来

stream {
    upstream serverA{
        server 127.0.0.1:8001;
    }
    upstream serverB{
        server 127.0.0.1:8002;
    }
    lua_add_variable $proxy;
    server {
        listen 11301;
        preread_by_lua_block {
	    local sock = ngx.req.socket()
             local data = sock:peek(4)
             if (data == "serA") then
				ngx.var.proxy= "serverA";
	   		 else
				ngx.var.proxy= "serverB";
             end
	}
        proxy_pass $proxy;
    }
}

转发tls

利用tls的servername进行转发,可以写死规则 也可以正则。
同理可以转发基于tls的grpc
(nginx也对grpc的转发有单独的支持,这里)

  map $ssl_preread_server_name $targetBackend {
      ~^org11(.*) node1;
      ~^org22(.*) node1;
      org1 node1;
      org2 node2;
      org3 node1-grpc;
  }
  
  upstream node1 {
      server 127.0.0.1:11301;
  }

  upstream node2 {
      server 127.0.0.1:11302;
  }

  upstream node1-grpc {
      server 127.0.0.1:12301;
  }


  server {
      listen 18301;
      ssl_preread on;
      proxy_pass $targetBackend;
      access_log logs/access.log  proxy;
  }

也可以在lua里动态获取servername

local server_name = ngx_ssl.server_name()

tcp转tls 转发后再转tcp

client–(tcp)–>客户端nginx–(tls)–>服务端nginx–(tcp)–>server

服务端nginx配置

# This configure file setup proxy for aby3's party 0.
 stream {
     map $ssl_server_name $stream_map {
    	aby3_task_1 upstream_task_1;
    	aby3_task_2 upstream_task_2;
     }
 
     upstream upstream_task_1 {
 	server 127.0.0.1:1313;
     }
 
     upstream upstream_task_2 {
 	server 127.0.0.1:1314;
     }
 
     server {
 	listen 8185 ssl;
 	ssl_certificate /home/chainmaker/nginx-cfg/cert/server1.crt;
 	ssl_certificate_key /home/chainmaker/nginx-cfg/cert/server1.key;
 	proxy_pass $stream_map;
 	proxy_ssl off;
	ssl_preread off;
     }


 }

客户端nginx

stream {
    server {
        listen                8184 ssl;
        proxy_pass            192.168.30.110:8185;
	proxy_ssl  on;

	# Certificate of TLS server, this TLS server is nginx, nginx
	# will send certificate to client. 
        ssl_certificate       /home/chainmaker/nginx/cert/server1.crt;
        ssl_certificate_key   /home/chainmaker/nginx/cert/server1.key;
	proxy_ssl_server_name on;
	proxy_ssl_name aby3_task_1;
    }

    server {
        listen                9184 ssl;
        proxy_pass            192.168.30.110:9185;
	proxy_ssl  on;

	# Certificate of TLS server, this TLS server is nginx, nginx
	# will send certificate to client. 
        ssl_certificate       /home/chainmaker/nginx/cert/server1.crt;
        ssl_certificate_key   /home/chainmaker/nginx/cert/server1.key;
	proxy_ssl_server_name on;
	proxy_ssl_name aby3_task_2;
    }
}
Richelieu_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx 启用 OCSP Stapling的配置
01-10
OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。 而这时,OCSP Stapling 出现了。经由 OCSP ...
Nginx转发TCP流量
wsfsp_4的博客
01-12 4709
近日在使用Docker容器部署某代理应用的时候发现,该应用监听的是127.0.0.1:1080地址,所以正常情况只有本地的程序才能使用该代理,但实际需要的是局域网或公网用户都可以访问使用。
Nginx代理-端口转发
weixin_45083630的博客
02-21 1万+
使用nginx+docker实现端口转发 背景: 一台服务器,使用docker搭建了多个服务容器; 服务1:0.0.0.0:3010->80/tcp 服务2:0.0.0.0:3000->80/tcp 实现例子: 1.在服务器监听访问端口,实现指定的端口分发 2.多个域名绑定一台服务器的不同服务,都使用80端口 实现方法: 在服务器端,最外层使用nginx服务 apt-get install nginx 修改nginx配置(/etc/nginx/sites-enabled) 1.监听不同端口
nginx同时配置多组tcp反向代理和多组http反向代理
u011285281的博客
03-15 1050
nginx同时配置多组tcp反向代理和多组http反向代理
nginx 安装(支持https 多域名证书+支持TCP端口转发
兰辉
12-18 3354
  1、环境准备:先安装准备环境 [root@nginx ~]#yum install gcc gcc-c++ automake pcre pcre-devel zlip zlib-devel openssl openssl-devel     2、下载nginx 安装包:  官网地址:http://nginx.org/   现在就是Nginx和OpenSSL的安装与配置(这里注意,一...
nginx根据域名转发服务
adsadadaddadasda的博客
01-30 2718
背景:申请了一个域名,计划是用这个域名部署三个不同的服务在同一台服务器上,我通过一级、二级域名来区分不同的服务。 如:a.com  对应8080这个服务,b.a.com 对应8081这个服务, c.a.com对应8082这个服务。 首先应该在DNS解析器中配置a.com,b.a.com, c.a.com这三个域名的解析,然后通过nginx转发。   根据域名配置了三个转发: http:/...
nginx无证书情况用stream模块反向代理https网站
热门推荐
04-09 1万+
公司研发一般在内网环境下,但是开发时需要调用某些第三方接口。 这时可以用一台服务器做nginx反向代理,然后研发机器修改host文件将域名指向服务器即可实现代理转发。 但是普通的nginx http反向代理代理https时需要配置证书,我们不可能有第三方接口域名的证书,所以要使用nginx 的stream模块。 普通的nginx反向代理时第七层代理,而stream模块是第四层代理,转发的tc...
NginxTCP端口转发
zcfeng
01-11 1万+
nginx的端口转发,实现通过外网访问内网中的数据库
使用Nginx转发TCP请求
localhost
10-11 7094
在平时的开发中,可能有的服务在本地电脑是连接不上的,此时需要一个中间人来作为代理,帮助我们去转发请求 比如现在本地可以链接某一台nginx服务器,域名为www.baidu.com,并且开放了端口8899,那么我们通过这台服务器,来转发我们链接不上的192.168.0.111:6379 redis服务 一、nginx.conf daemon off; user www; worker_processes 8; worker_rlimit_nofile 102400; events { use ep.
nginxTCP/UDP转发
qq_39297233的博客
07-05 3122
所以其配置项目要放在nginx的顶级配置文件(/etc/nginx/nginx.conf)的顶级块里面, 和顶级配置文件中的http块同属一个层级。用nginx -V命令(注意V是大写, 可查询nginx已安装模块)查了一下, 我的nginx是1.16.0版本, 并且已经安装了stream模块(命令输出包含--with-stream)​​upstream​​​、​​server​​​ 填写和​​http​​中一样。UDP 的​​listen​​​ 后边要写​​udp​​。一)stream模块。
Nginx转发Tcp、Udp详细教程(简单粗暴)
dingdingdandan
05-29 4622
简介 如何支持TCP nginx支持tcp转发,在1.9.0版本及之后版本中提供,涉及核心模块:ngx_stream_core_modul。nginx若要使用该功能,需要在nginx编译时,带上–with-stream配置参数以启用他。 nginx tcp模块 conf 结构: stream { # 目标服务器 upstream { } # 监听路由 server { } } 1. 转发案例 nginx转发redis案例 redis安装在192.168
nginxtcp设置域名访问
YeJinYang的博客
12-16 1905
nginxtcp设置域名访问
Bulletproof SSL and TLS,PDF , Ivan Ristic
09-27
TCP Optimization 259 Connection Persistence 260 SPDY, HTTP 2.0, and Beyond 262 Content Delivery Networks 263 TLS Protocol Optimization 265 Key Exchange 265 Certificates 270 Revocation Checking 271 ...
Xray脚本:(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web构造管理脚本
02-11
TCP + XTLS)+(Xray-WebSocket + TLS)+ Web集成多版本bbr /锐速安装选项支持多种系统(Ubuntu CentOS Debian deeped fedora ...)支持多种指令集(x86 x86_64 arm64 ...)支持ipv6only服务器(需自行设置dns64)...
asynch_mode_nginx
05-04
Nginx * [engine x]是HTTP和反向代理服务器,邮件代理服务器和通用TCP / UDP代理服务器,最初由Igor Sysoev编写。 该项目提供了使用异步模式OpenSSL *的扩展Nginx。 通过Intel:registered:QuickAssist Technology...
Linux 系统 nginx 服务器安装及负载均衡配置详解
01-10
nginx(engine x) 是一个 高性能 的 HTTP 和 反向代理 服务器、邮件代理服务器以及通用的 TCP/UDP 代理服务器。其特点为轻量级(占用系统资源少)、稳定性好、可扩展性(模块化结构)、并发能力强、配置简单等。 本文...
TCP相关问题总结
最新发布
qq_62835094的博客
04-23 1130
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
<计算机网络自顶向下> TCP拥塞
BBTJDDY的博客
04-20 1139
超时:CongWin降低为1MSS,进入SS(Slow Start)阶段然后再倍增到CongWIN/2(每个RTT),从而进入CA(Congestion Avoidance)阶段(是超时的话就先把窗口降到1MSS,然后每一个RTT翻倍,直到到达原窗口的一半,开始每个RTT增加1MSS)在拥塞发送时如何动作,降低速率:轻微拥塞和拥塞的时候如何降低。原因1:网络拥塞(某个路由器缓冲区没空间了,被丢弃)概率大。CongWin是动态的,是感知到的网络拥塞程度的函数。在拥塞缓解的时候如何动作,增加速率。
网络编程 -- 简易TCP网络程序
sushhsishdgsusk的博客
04-20 1107
字符串回响程序类似于echo指令,客户端向服务器发送消息,服务器在收到消息后会将消息发送给客户端,该程序实现起来比较简单,同时能很好的体现socket套接字编程的流程。
nginx 反向代理tcp
07-28
您好!对于 Nginx 反向代理 TCP 请求,您可以通过配置 Nginx 的 stream 模块来实现。下面是一个简单的示例配置: ``` stream { upstream backend { server backend1.example.com:12345; server backend2.example.com:12345; } server { listen 12345; proxy_pass backend; } } ``` 在这个示例中,我们定义了一个 upstream 块来指定后端服务器的地址和端口。然后,在 server 块中监听指定的端口,并使用 proxy_pass 指令将请求转发到后端服务器。 您可以根据实际情况进行修改和扩展,例如添加 SSL/TLS 支持、设置负载均衡算法等。 请注意,反向代理 TCP 请求需要在 Nginx 编译时启用 stream 模块。您可以通过运行 `nginx -V` 命令来检查是否启用了该模块。 希望能对您有所帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值