【nginx】用nginx stream 模块实现基于SNI的四层(TCP)代理服务

最新推荐文章于 2025-12-16 23:33:27 发布
原创 最新推荐文章于 2025-12-16 23:33:27 发布 · 451 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #tcp/ip

局域网中只有1台服务器可以访问外部网络,其他服务器如果要访问第三放地址只能通过代理器,其他服务器在/etc/hosts下手动添加解析条目,将第三放地址的域名都解析到这台代理服务器的ip。


> # cat  /usr/local/nginx/conf/nginx.conf

```
user nginx nginx;
worker_processes auto;

error_log /usr/local/nginx/logs/error.log;
pid       /usr/local/nginx/nginx.pid;

events {
    use epoll;
    worker_connections 65535;
}

stream {

# HTTP
    map $ssl_preread_server_name $backend_http {
        www.80.com              www_80_com;
        www.8080.com            www_8080_com;
        }
        
        
# HTTPS    
    map $ssl_preread_server_name $backend_https {
        www.443.com             www_443_com;
        www.1443.com            www_1443_com;
    }
        

# 定义需要代理的各地址的 upstream
      
    upstream www_80_com {
        server www.80.com:80;
    }

    upstream www_8080_com {
        server www.8080.com:8080;
    }    
    
    upstream www_443_com {
        server www.443.com:443;
    }

    upstream www_1443_com {
        server www.1443.com:1443;

    server {
               listen 80;
               resolver 192.168.1.110;
               proxy_pass $backend_http;      
               proxy_connect_timeout 300s;
               proxy_timeout 300s;
               proxy_next_upstream_timeout 300s;
    }


    server {
               listen 8080;
               resolver 192.168.1.110;
               proxy_pass $backend_http;      
               proxy_connect_timeout 300s;
               proxy_timeout 300s;
               proxy_next_upstream_timeout 300s;
    }

    server {
               listen 443;
               ssl_preread on;
               resolver 192.168.1.110;
               proxy_pass $backend_https;
               proxy_connect_timeout 300s;
               proxy_timeout 300s;
               proxy_next_upstream_timeout 300s;
    }
        
    server {
                listen 1443;
                ssl_preread on;
                resolver 192.168.1.110;
                proxy_pass $backend_https;
                proxy_connect_timeout 300s;
                proxy_timeout 300s;
                proxy_next_upstream_timeout 300s;
        }
}


```

> nginx stream 代理配置解读

这个配置文件是Nginx的`stream`模块配置,主要用于四层(TCP/UDP)代理和负载均衡功能,而不是通常的七层(HTTP)代理。

## 配置结构分析

### 1. 基础配置部分
```nginx
user nginx nginx;
worker_processes auto;

error_log /usr/local/nginx/logs/error.log;
pid/usr/local/nginx/nginx.pid;

events {
use epoll;
worker_connections 65535;
}
```
- 以`nginx`用户和组运行
- 自动设置worker进程数量
- 错误日志和pid文件路径
- 事件模块使用epoll高效模型,每个worker支持65535个连接

### 2. Stream模块核心功能

#### 2.1 域名映射(map指令)
```nginx
# HTTP
map $ssl_preread_server_name $backend_http {
www.80.com      www_80_com;
www.8080.com  www_8080_com;
}

# HTTPS
map $ssl_preread_server_name $backend_https {
www.443.com    www_443_com;
www.1443.com  www_1443_com;
}
```
- 创建了两个映射表,根据SNI(Server Name Indication)信息将域名映射到对应的upstream
- `$ssl_preread_server_name`是Nginx在SSL握手前读取的客户端请求的服务器名称
- 第一个映射处理HTTP流量(非加密),第二个处理HTTPS流量(加密)

#### 2.2 Upstream定义
```nginx
upstream www_80_com {
server www.80.com:80;
}

upstream www_8080_com {
server www.8080.com:8080;
}

upstream www_443_com {
server www.443.com:443;
}

upstream www_1443_com {
server www.1443.com:1443;
}
```
- 定义了4个后端服务器组
- 每个upstream对应一个特定的域名和端口组合

#### 2.3 服务器监听配置

**HTTP代理服务器(端口80):**
```nginx
server {
listen 80;
resolver 192.168.1.110;
proxy_pass $backend_http;
proxy_connect_timeout 300s;
proxy_timeout 300s;
proxy_next_upstream_timeout 300s;
}
```
- 监听80端口(HTTP)
- 使用DNS解析器192.168.1.110
- 根据`$backend_http`映射表转发流量
- 各种超时设置为300秒

**HTTP代理服务器(端口8080):**
```nginx
server {
listen 8080;
resolver 192.168.1.110;
proxy_pass $backend_http;
proxy_connect_timeout 300s;
proxy_timeout 300s;
proxy_next_upstream_timeout 300s;
}
```
- 类似80端口配置,但监听8080端口

**HTTPS代理服务器(端口443):**
```nginx
server {
listen 443;
ssl_preread on;
resolver 192.168.1.110;
proxy_pass $backend_https;
proxy_connect_timeout 300s;
proxy_timeout 300s;
proxy_next_upstream_timeout 300s;
}
```
- 监听443端口(HTTPS)
- 启用`ssl_preread`以获取SNI信息
- 根据`$backend_https`映射表转发流量

**HTTPS代理服务器(端口1443):**
```nginx
server {
listen 1443;
ssl_preread on;
resolver 192.168.1.110;
proxy_pass $backend_https;
proxy_connect_timeout 300s;
proxy_timeout 300s;
proxy_next_upstream_timeout 300s;
}
```
- 类似443端口配置,但监听1443端口

## 功能总结

这个配置实现了一个**基于SNI的四层(TCP)代理服务器**,主要功能包括:

1. **透明代理**:根据客户端请求的域名将流量转发到不同的后端服务器
2. **多端口支持**:同时支持HTTP(80,8080)和HTTPS(443,1443)流量的代理
3. **域名路由**:使用SNI信息在SSL握手前就确定后端服务器
4. **TCP负载均衡**:虽然每个upstream只有一个服务器,但可以扩展为多服务器实现负载均衡

这种配置常用于:
- 需要基于域名的TCP层路由
- SSL/TLS终止前的流量转发
- 多域名共享同一IP和端口的场景
- 需要透明代理而不修改数据包内容的场景

注意:这不是传统的HTTP反向代理,而是在更底层的TCP/UDP层工作的代理。

> ssl_preread  配置的作用是什么 ?  

`ssl_preread` 是 Nginx 在 **Stream 模块(四层代理)** 中用于 **SNI(Server Name Indication)解析** 的关键指令,它使得 Nginx 可以在不解密 TLS/SSL 流量的情况下,提前读取客户端请求的域名信息,从而进行路由决策。

---

## **`ssl_preread` 的作用**
1. **读取 SNI 信息**
- 在 TLS/SSL 握手阶段,客户端(如浏览器)会发送 `SNI` 扩展字段,告诉服务器它要访问的域名(如 `www.www.example.com`)。
- `ssl_preread` 让 Nginx 在不解密 TLS 数据的情况下,提前读取这个 SNI 信息。

2. **基于域名的 TCP 层路由**
- 结合 `map` 指令,Nginx 可以根据 `$ssl_preread_server_name` 变量将流量代理到不同的后端服务器(如 `upstream`)。
- 例如:
```nginx
map $ssl_preread_server_name $backend {
www.example.com    backend1;
www.test.com    backend2;
}
```
这样,访问 `www.example.com:443` 的流量会被代理到 `backend1`,而 `www.test.com:443` 的流量会被代理到 `backend2`。

3. **支持 HTTPS 透明代理**
- 传统的 HTTP 反向代理(`http` 模块)可以解析 `Host` 头来路由请求,但 HTTPS 流量是加密的,Nginx 无法直接读取 `Host` 头。
- `ssl_preread` 允许 Nginx 在不解密 TLS 的情况下,仅读取 SNI 信息,实现类似 HTTP 代理的路由功能。

4. **提高性能(不解密 TLS)**
- 由于 Nginx 只是读取 SNI,而不进行 TLS 解密,它的性能比完整的 TLS 终止(解密后再代理)更高,适用于透明代理场景。

---

## **`ssl_preread` 的典型应用场景**
1. **多域名 HTTPS 代理**
- 多个 HTTPS 域名(如 `a.com:443` 和 `b.com:443`)共享同一个 IP 和端口,Nginx 根据 SNI 将流量转发到不同的后端服务器。

2. **CDN 或 LB(负载均衡)**
- 在四层负载均衡中,基于 SNI 路由不同的 TLS 流量到对应的后端服务。

3. **透明代理(如上网工具)**
- 某些代理工具利用 SNI 信息进行流量分类和转发。

4. **端口复用**
- 例如,让 `:443` 同时代理 HTTP/3 (QUIC)、HTTPS、Trojan 等不同协议,通过 SNI 区分。

---

## **示例配置**
```nginx
stream {
# 定义 SNI 到 upstream 的映射
map $ssl_preread_server_name $backend {
www.example.com  backend_https01;
www.test.com     backend_https02;
}

# 定义后端服务器
upstream backend_https01 {
server 1.2.3.4:443;
}

upstream backend_https02 {
server 5.6.7.8:443;
}

# 监听 443,启用 ssl_preread
server {
listen 443;
ssl_preread on;
proxy_pass $backend;
}
}
```
- 当客户端访问 `www.example.com:443` 时,Nginx 会读取 SNI,发现是 `www.example.com`,然后代理到 `backend_https01`(1.2.3.4:443)。
- 访问 `www.test.com:443` 则代理到 `backend_https02`(5.6.7.8:443)。

---

## **`ssl_preread` vs `ssl`(TLS 终止)**
| 特性| `ssl_preread`(SNI 路由) | `ssl`(TLS 终止) |
|--------------|--------------------------|------------------|
| **是否解密 TLS** | ❌ 不解密,仅读取 SNI | ✅ 解密 TLS |
| **适用场景** | 透明代理、四层 LB | HTTPS 反向代理 |
| **性能** | 更高(不解密) | 较低(需解密) |
| **能否修改内容** | ❌ 不能(TCP 层) | ✅ 能(HTTP 层) |

---

## **总结**
- `ssl_preread` 主要用于 **在不解密 TLS 的情况下读取 SNI**,实现基于域名的四层代理。
- 适用于 **HTTPS 透明代理、多域名路由、CDN、科学上网工具** 等场景。
- 相比完整的 TLS 终止(`ssl`),它的性能更高,但不能修改加密内容。

如果你的需求是 **"不解密 TLS,但要根据域名路由"**,`ssl_preread` 是最佳选择!

Nginx TCP代理环境下,SNI模块配置详解
紫夜若涵的博客
11-20 800
SNI是SSL/TLS协议的一项扩展,允许客户端在TLS握手阶段指明希望连接的服务器主机名。这使得同一IP地址能够托管多个SSL证书,从而解决了IP地址资源紧张的问题,并提高了服务器的灵活性和运维效率。
Nginx使用stream模块分流实现端口复用
热门推荐
diqiudq的博客
09-17 1万+
使用Nginx复用端口有很多方法,最普遍的方法是在不同的server块中监听同一端口,根据不同的主机名完成分流。本文介绍了一种较新的端口复用方法,它可以方便地对TLS加密的TCP数据进行分流。
Nginx Stream模块完全指南:四层代理的艺术与实践
cx1050306424的博客
12-16 970
适用场景非HTTP协议的TCP/UDP服务代理需要高性能、低延迟的四层负载均衡协议透明转发(不解密、不修改)数据库、游戏、邮件等服务的负载均衡不适用场景需要修改应用层协议内容基于HTTP头的路由决策需要URL重写或重定向Web应用防火墙功能。
Nginx基于TCP/UDP端口的四层负载均衡(stream模块)配置梳理
jj1130050965的博客
12-11 1211
Nginx基于TCP/UDP端口的四层负载均衡(stream模块)配置梳理 通过我们会用Nginx的upstream做基于http/https端口的7层负载均衡,由于Nginx老版本不支持tcp协议,所以基于tcp/udp端口的四层负载均衡一般用LVS或Haproxy来做。至于4层负载均衡和7层负载均衡的区别,可以参考:http://www.cnblogs.com/kevingrace/p/6137881.html。然而Nginx从1.9.0版本开始,新增加了一个stream模块,用来实现四层协议的.
nginx实现TCP反向代理
qq_25096749的博客
01-18 647
4、动态增加tcp反向代理模块–with-stream=dynamic(这个模块和第三方模块nginx_tcp_proxy_module-master是一样的)5、查看当前目录的objs/目录下会生成一个.so文件[ngx_stream_module.so]6、在nginx的安装目录下创建modules目录,并将这个.so文件移动到modules目录下。需要动态扩展安装模块nginx_tcp_proxy_module,实现tcp反向代理。1、nginx当前版本1.11.13(nginx已安装)
Nginx四层代理(TCP/UDP调度)
qq_41619571的博客
05-24 1842
一、拓扑图 二、环境搭建 1、基础配置参照: 虚拟机搭建centos7.5-Nginx七层代理及环境部署_*_花非人陌_*的博客-优快云博客https://blog.youkuaiyun.com/qq_41619571/article/details/124875194 2、不停nginx服务基础添加stream模块 [root@proxy nginx-1.21.6]# /usr/local/nginx/sbin/nginx -V #查看nginx安装了那些模块 nginx version: n
NGINX `ngx_stream_core_module` 模块概览
hello.reader
06-05 1538
`ngx_stream_core_module` 自 NGINX 1.9.0 起可用,用于在 TCP/UDP 层实现通用的流量代理与负载均衡。它将 NGINX 从原先仅能处理 HTTP 的角色扩展至支持任意基于流(stream)的协议,如 MySQL、Redis、SMTP、IMAP、POP3、DNS 等。以下将重点介绍该模块的功能定位、主要指令含义与示例配置,帮助你快速上手流(stream)层代理。
nginx -streamtcp连接)反向代理配置 实现代理mysql以及文件上传
ACTIM的博客
07-13 1万+
1. stream模块安装 nginx默认安装的时候无法加载流stream模块,需要在启动参数里加上–with-stream。 解决方法: 重新对源文件进行编译、安装,通过添加–with-stream参数指定安装stream模块nginx安装教程 [root@localhost nginx-1.12.2]# ./configure --with-stream [root@localhost n...
解决内网服务访问公网 HTTPS 域名的方案(基于 Nginx SNI 代理)
qq_37488568的博客
07-31 581
这种方式利用 Nginxstream模块读取 SNI 实现透明转发,是目前在jar 包中无法更改域名且需通过 DMZ 区访问公网服务时的最佳实践之一,兼顾了安全性、透明性和兼容性。如需支持多个 HTTPS 域名或未来扩展支持,可持续在map中添加新的规则。
Nginx基础教程(92)Nginx Stream机制模块体系:Nginx Stream模块详解:让TCP/UDP流量转发更简单
jxf_jxfcsdn的博客
12-01 878
本文将带你深入理解NginxStream模块,从基础概念到高级应用,全方位掌握TCP/UDP代理的配置与优化。通过实际示例演示如何为MySQL、DNS等服务实现负载均衡,并剖析Stream模块的完整架构与工作原理,让你轻松应对四层网络代理需求。
nginx stream proxy 模块的ssl连接源码分析
一个致力于开源代码学习、分析和交流的博客
02-07 3174
本为对 nginx的ngx_stream_proxy_module与上游服务器建立ssl连接的过程进行了详细分析。
TCP网络巩固知识基础题(5)
m0_62171526的博客
12-10 705
发送序列1-1000的数据,收到1-300和501-1000,缺少301-500。普通ACK只能表明期望301,而SACK可以告知已收到两个数据块,发送方只需重传301-500。视频服务器向手机发送高清视频,即使网络带宽充足,但如果手机处理不过来(缓冲区满),TCP也会自动减速。这四个算法协同工作,根据网络反馈动态调整发送速率,平衡网络利用率和拥塞风险。
Wokwi@通过RFC2217 TCP 服务器连接到模拟微控制器串口
qq_26074053的博客
12-11 782
【代码】Wokwi@通过RFC2217 TCP 服务器连接到模拟微控制器串口。
ProfibusDP转ModbusTCP:工业通讯网关实现西门子S7-300PLC与MES生产线通信
MRYHSLH的博客
12-12 597
与现场ProfibusDP设备网络形成协议壁垒,导致生产线实时运行数据(如输送速度、工件计数、液压压力、设备故障代码等)无法直接上传,生产过程仍依赖人工记录数据,不仅效率低下,还存在数据误差风险,且设备故障无法及时预警,影响生产连续性。为确保通信地址唯一性,每条生产线的设备按功能分配独立从站地址(1~10号),其中西门子S7-300PLC固定为1号站,变频调速器、光电传感器、压力开关分别对应2~10号站,完全复用现有布线资源,无需额外开挖布线,避免对生产造成干扰。配套的执行与传感设备均为。
CAPL学习-SOME/IP交互层-底层API函数
车载网络测试工程师的博客
12-14 405
该函数用于缓冲SOME/IP消息。所有缓冲的消息将在当前CAPL函数退出后发送;函数成功访问消息,且FIBEX数据库中存在该消息ID,则消息长度将根据数据库自动调整。参数指定字节流中SOME/IP消息的起始位置(单位:字节,见示例代码)。预先缓冲的消息(若源和目标相同)将与当前消息一同发送。该函数用于创建SOME/IP消息,创建后的消息可通过。该函数用于立即发送SOME/IP消息。参数指定的数据流中获取,不纠正错误的长度值。,则具有相同源和目标的消息将被合并发送。也会触发缓冲消息的发送。
Linux网络--网络层协议 IP
最新发布
2302_79606537的博客
12-16 384
举一个例子,我们要去一个地方,但是我们不知道路该怎么走,所以我们要找人问路,有的人知道怎么走就把路线告诉我们,有的人不知道该怎么走,但是他告诉我们先走一段路再去问问别人。网络宏观上被分为公网和内网(子网,局域网),它们的比例是 1 : N ,在内网中Ip地址可以重复,所以我们的私有IP无法出现在公网,因为无法收到应答,那么是怎样进行通信的呢?这是我制作的一张关于公网和子网的分配图,实际上的分配比这要复杂的多,同一个路由器WAN口记录自己的公网IP,LAN口记录自己的子网IP。
Unity 之使用 uLipSync 实现精确的口唇同步
TxNet
12-11 117
本文介绍了Unity插件uLipSync在实现高质量口唇同步(Lip Sync)方面的应用。该插件采用音素/元音分析方法,通过频谱分析识别音频中的音素特征,并映射到对应的嘴形(Viseme),从而实现比传统音量驱动更精准的唇形同步效果。文章详细解析了uLipSync的工作原理,包括频谱分析和音素识别机制,并提供了基于BlendShapes的完整集成教程,涵盖模型准备、组件添加、分析器配置等关键步骤。uLipSync凭借其音素级精度、实时处理能力和易用性,成为数字人、虚拟偶像等角色实现自然语音表达的理想工具。
跨境电商防关联技术实践:美客多自养号环境搭建(指纹浏览器/IP隔离/支付合规)
Andre_BWM9992的博客
12-15 765
在美客多(MercadoLibre)等跨境电商平台运营,拥有安全、稳定的买家账号体系,是进行市场调研、测评或供应链采购的基础工具。真正的“防封”基石,永远是尊重平台规则、提供真实价值、避免任何形式的欺诈和操纵行为。即使进入稳定期,也应保持低频、分散的采购节奏,避免固定时间、固定金额的模式化操作。建立一个安全的账号体系,其本质是为每个账号创造一个独立、纯净且真实的“数字身份”。新注册的账号切勿立即进行大规模或高价值采购,需要经历一个模拟真实用户成长的培养周期,以积累账号权重。这是最基本也是最重要的防线。
QUIC协议深度解析:为什么它比TCP更快
在代码的世界里,每天进步1%
12-12 761
2022年6月,HTTP/3正式成为标准(RFC 9114)。底层不再使用TCP,而是使用QUIC。Google、Facebook、Cloudflare等巨头早已大规模部署QUIC。据统计,全球超过25%的Web流量已经运行在QUIC之上。为什么要用一个新协议替代服务了40多年的TCP?QUIC到底快在哪里?今天我们来彻底搞懂。问题TCP方案QUIC方案连接建立慢2-3 RTT0-1 RTT队头阻塞无法解决流级别隔离网络切换连接断开无缝迁移协议更新10年周期即时更新实践建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值