您的位置: 首页 > 新闻资讯 > > 正文

Nginx配置二级目录/路径 映射不同的反向代理和规避IP+端口访

发布时间:2020年01月06日 来源:互联网

    当配置Nginx来映射不同的服务器 可以通过二级路径来反向代理 来解决一个外网端口实现多个服务访问。


Nginx配置二级目录/路径 映射不同的反向代理和规避IP+端口访


    配置如下:


    复制代码


    server {


    listen 80;


    server_name demo.domain.com;


    #通过访问service二级目录来访问后台


    location /service/ {


    #DemoBackend1后面的斜杠是一个关键,没有斜杠的话就会传递service到后端节点导致404


    proxy_pass      http://backend1/;


    proxy_redirect  off;


    proxy_set_header Host $host;


    proxy_set_header X-Real-IP $remote_addr;


    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    #其他路径默认访问前台网站


    location / {


    proxy_pass http://backend2;


    proxy_redirect  off;


    proxy_set_header  Host  $host;


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    #简单的负载均衡节点配置


    upstream backend1 {


    server 192.168.1.1;


    server 192.168.1.2;


    ip_hash;


    }


    upstream backend2 {


    server 192.168.2.1;


    server 192.168.2.2;


    ip_hash;


    }


    复制代码


    对于规避IP+端口访问,可能粗略一看,还没理解是个啥意思吧!


    其实就是现在业界流行的一种防DNS污染的解决方案之一:手机APP里面除了通过域名来获取数据,还会额外嵌入一些备用的IP。APP在获取数据时,会先通过域名向服务器发起一个简单的校验请求,如果得到的不是预期数据,说明该网络环境下的DNS已被污染,比如被运营商劫持,请求A内容却给你展示B内容!这时候,APP将会启动备用预案,通过IP的方式来请求数据!很明显,这个做法可以有效避免恶心的DNS劫持了(看完这段是不是有所收获呢?)。


    做法很简单,就是在APP中集成多个IP和端口作为备用的访问途径。


    当开发GG找到我,提出的需求是:


    需要实现公网IP+端口来访问,比如邮件API使用 http://192.168.1.10:125


    Ps:公网服务器是多线的,那么就有多个IP,本文假设电信是192.168.1.10,联通是192.168.2.10,移动是192.168.3.10等


    说白了就是要用端口来区分不同的API,此时如果我不深究,顺手可能会写出如下配置:


    Shell


    复制代码


    #API1


    server {


    listen 125;


    server_name 192.168.1.10 192.168.2.10 192.168.3.10;


    location / {


    proxy_pass      http://DemoBackend;


    proxy_redirect  off;


    proxy_set_header   Host  api1.domain.com;


    proxy_set_header   X-Real-IP   $remote_addr;


    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    #API2


    server {


    listen 126;


    server_name 192.168.1.1 192.168.2.1 192.168.3.1;


    location / {


    proxy_pass      http://DemoBackend;


    proxy_redirect  off;


    proxy_set_header   Host  api2.domain.com;


    proxy_set_header   X-Real-IP   $remote_addr;


    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    ##API n等等....


    复制代码


    粗略一看,确实是可以实现开发GG的要求啊!再仔细一想,你会发现如此做法会开放越来越多的端口!运维成本以及辨识度低还只是其次,咱说好的安全第一呢?


    经过思考和测试,我写出的最终配置如下:


    Shell


    复制代码


    #新增的IP映射配置


    server {


    listen 80;


    server_name 192.168.1.10 192.168.2.10 192.168.3.10;


    location /mail_api/ {


    proxy_pass      http://DemoBackend/; #后面的斜杠不能少,作用是不往后端传递/mail-api 这个路径


    proxy_redirect  off;


    proxy_set_header  Host  mailapi.domain.com; #传递不同的host给后方节点,实现IP和域名均可以访问


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    location /other_api1/ {


    proxy_pass      http://DemoBackend/;


    proxy_redirect  off;


    proxy_set_header  Host  otherapi1.domain.com;


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    #还可以添加更多映射,通过不同的路径来映射不同的API,最后对于直接访问IP则返回403,防网络上的扫码探测


    location / {


    return 403;


    }


    }


    #原有的域名映射


    server {


    listen 80;


    server_name mailapi.domain.com;


    location / {


    proxy_pass      http://DemoBackend;


    proxy_redirect  off;


    proxy_set_header  Host  $host;


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    server {


    listen 80;


    server_name otherapi1.domain.com;


    location / {


    proxy_pass      http://DemoBackend;


    proxy_redirect  off;


    proxy_set_header  Host  $host;


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    #简单的节点配置(当这些API都用到同一个Backend时,上述代码中的proxy_set_header传递的host就起到了关键性作用!)


    upstream DemoBackend {


    server 192.168.10.1;


    server 192.168.10.2;


    ip_hash;


    }


    复制代码


    最终实现的效果就是:你要通过IP请求邮件API,只要请求 http://192.168.1.1/mail_api/ 即可,而不需要开放多余端口。而且,后续要新增更多API,只需要定义不同的二级路径即可,这些二级路径的辨识度可比端口要好得多!


    Ps:正如代码中的注释,示例代码只用了一个 DemoBackend 节点配置,为的是分享另一个小技巧:当后端节点承载了多个站点而且都是监听80端口时(比如某些小公司同一个IIS服务器部署了N个站点),反向代理中的proxy_set_header参数,可以自定义传递一个host域名给后端节点,从而正确响应预期内容!


    这段解释有点无力,还是拿实际例子举例吧!


    我之前供职的公司节点用的是IIS服务器,前端用Nginx反向代理,IIS服务器上有多个站点,站点之间部分会通过 rewrite 规则联系起来。


    打个比方:比如A网站有个专题内容(www.a.com/zt/)是通过IIS伪静态映射到了B网站(content.b.com)。也就是访问到http://www.a.com/zt/,其实最后是通过A网站映射到了B网站上面。


    后来发现IIS有个伪静态BUG,会经常奔溃,就要我用前端的Nginx来实现直接映射,而不再走IIS的A网站中转。


    那么这个需求就正好用到了 proxy_set_header 技巧,一看就懂:


    Shell


    复制代码


    server {


    listen 80;


    server_name www.a.com;


    location /zt/ {


    proxy_pass      http://ABackend; #都是相同的节点,此示例代码我就不写upstream了


    proxy_redirect  off;


    proxy_set_header  Host www.b.com; #这里就是关键性作用,传递b域名给后端IIS


    proxy_set_header  X-Real-IP  $remote_addr;


    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


    }


    }


    #upstream略..


    复制代码


    很明显,通过传递自定义域名,就可以实现通过A网站访问Nginx,返回B网站内容,和反向代理谷歌的原理是一致的。


    当然,上文为了实现 IP 和域名都可以访问,这个proxy_set_header 设置也是必须的。说白了就是在反代过程中,对后端服务器伪装(传递)了一个自定域名,让后端响应该域名预期内容。


    本文分享的经验,其实比较简单,主要就是通过不同路径来反代不同的目标。估计很多大拿早就用烂了吧!不过值得注意的是,通过自定义路径反代,需要注意 proxy_pass 参数后面是否需要斜杠,避免将自定义的路径传递到后端节点,导致访问404!


相关文章内容简介

1 不同的代理IP有什么区别?

    不同的代理IP有什么区别?使用代理IP时,现在有很多代理IP商家,很多用户也看不出有什么不同,也不知道该怎么选择。那么,代理IP有什么不同呢?    首先代理IP有免费和收费的,免费就是不需要花钱,在网络上可以直接找到,但可用率很低,挑选可用IP会很麻烦,只适合初级学者,不适合用于工作。收费就是由商家提供的代理IP软件,需要花钱,但操作简单,换IP也方便。如果不小心选择了质量差的代理,访问时候对方可能会识别出你使用了代理IP,依旧会查出真实IP,导致被封。    所以如果是专业人员工作使用代理IP,建议选择收费的代理IP,这样工作效率高,还不会有被封的风险。万变ip代理提供的IP均为高匿名IP,有不同套餐,可以按照自己的项目来选择,价格合理。    找到合适的代理IP要根据自己的实际需求来定,最简单的方法就是对IP进行验证,可以验证代理IP是否有效。还可以对代理IP提供的IP匿名程度来进行检测,一般都需要用高匿名代理效果是最好的。还可以验证代理IP是否可以访问... [阅读全文]

2 代理ip怎么选择呢?

    代理ip怎么选择呢?代理IP很多人都不陌生,特别是推广人员,可以给我们的工作带来很大的帮助。随着需求的增大,IP代理软件特别多,所以在挑选的时候让很多用户不知该怎么办。那么,代理IP哪家好呢?    万变ip代理IP是非常实用的,是自己搭建的服务器,IP可用率非常高,可达到97%,IP质量无需担心,在使用的时候绝对不会出现冲突的情况。而且操作的过程很简单,只需一键就可快速更换IP,还有专业技术人员在线指导,无论是否用过代理IP软件,都可以快速掌握。    选择好的代理IP软件用户要多参考几家软件,有的软件并不是特别好用,所以用户不要急于选择,可以多试用几家。    现在在网络中随便搜索就可以找到很多代理IP软件,因为软件的数量剧增,在选择的时候就尤为重要,如果选择了不好的代理,不仅不会给我们的工作带来帮助,还会很麻烦。下面就为大家介绍一下选择代理IP的三要素。    1.IP资源的数量。如果可以提供的IP数量很少,在切换IP的时候就很有可能... [阅读全文]

推荐阅读

  1. 20

    2020-11

    水滴如何解决ip阻塞的问题?

    什么是爬虫,如何解决 ip 阻塞的问题?从事网络工作的人应该熟悉 免费 代理ip ,这是一个自动获取网页内容的程序。是搜索引擎的重要组成部分,所以搜索引擎优化很大程度上是对爬虫的优化

  2. 17

    2020-12

    爬虫工作中会遇到什么难题?

    网络工作常常需要爬虫帮助解决工作的难题,但爬虫在工作中也会难免遇到一些问题,例如会遇到各种反爬策略,并且会不时的进行升级,给爬虫工作带来了很大的困扰,也降低了我们的工作效

  3. 25

    2019-11

    如何使用IP代理去预防百度贴吧删帖?

    百度贴吧删帖,如何使用IP代理去预防,网络工作人员最常用的推广手段之一就是贴吧,贴吧的威信高好收录,受众多专业性也强,在这种平台上进行引流可以有效的进行企业品牌的宣传,也可

  4. 18

    2020-03

    代理ip在爬虫中的选择

    对每一个网络爬虫工作者、爱好者来说,在线代理ip是经常要用到的。因为网络爬虫是需要遵循一定的规则的:网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为

  5. 27

    2020-02

    代理IP服务器检查请求所属的会话

    任何严肃的Web服务都需要安全连接。TLS(通常仍称为SSL的旧名称)需要加密签名和验证。在处理许多请求时,这会占用大量的计算时间。代理可以处理所有TLS工作,从应用程序服务器中删除负载

  6. 29

    2020-10

    牛魔利用高隐藏http代理突破这个权限的可能性很大

    网络工作现在是常态,对于经常需要通过互联网完成工作的用户来说, ip 自然是一个关键方面。一般网站都会设置IP的访问权限。

因为专业! 所以简单! 产品至上,价格实惠 是我们服务追求的宗旨

免费试用