80端口复用:利用haproxy把http流量和ssh流量分别转发到web服务器和ssh服务器

其他 2018-10-27 21:05:54 阅读次数: 0

    我们实验室在学校里面有一台服务器,带一个公网ip,但是只开了一个80端口,22端口竟然不给开!!!这让我很是不爽。之前一直待学校里,不给开我忍忍就算了,最近搬到了个没有校园网的偏远地方,连不上实验室的服务器实在是不能忍。于是重新折腾之前安装在服务器上的haproxy。

    安装教程网络上到处到有,我按照网上的教程安装好haproxy后,再按照知乎上的 https://www.zhihu.com/question/31528831 教程配置之后,发现只在80端口访问网站是可以,但是用svn客户端访问我服务器上的svn返回错误,好像是显示option选项不支持之类的,受到 http://siukwan.sinaapp.com/?p=960 这篇文章的启发,我觉得是在http的acl里面配置少了option选项,于是一口气把http所有的头选项都回到匹配项里,像这样子:

	#GET POS(T) PUT DEL(ETE) OPT(IONS) HEA(D) CON(NECT) TRA(CE) 
	acl is_http req.payload(0,3) -m bin 474554 504f53 505554 44454c 4f5054 484541 434f4e 545241
    于是把svn的问题解决了。

    接下来是ssh的问题,直接在acl匹配字符串SSH,然后每次在本地连接80端口都是返回以下错误:

ssh_exchange_identification: Connection closed by remote host


    而直接连接22端口却没有问题。在网上搜索这个错误都说是黑名单之类的错误,但是我觉得这里并不是这个原因。后来抓包研究了下ssh协议,觉得并不是所有ssh数据包开头都是字符串SSH,所以acl简单粗暴地认为只有以字符串SSH开头的包才转发到22端口是不对的,应该更加简单粗暴地把http以外的数据包都转发到22端口,于是我把转发到22端口的配置语句的if条件去掉,问题得以解决。

以下是完整的配置文件/etc/haproxy/haproxy.cfg,其中http和ssh功能是测试过的,https没有测试,不知道能不能用。22端口是ssh服务器,82端口是http服务器,都是从外网的80端口进行访问。


#---------------------------------------------------------------------
# Example configuration for a possible web application.  See the
# full configuration options online.
#
#   http://haproxy.1wt.eu/download/1.4/doc/configuration.txt
#
#---------------------------------------------------------------------

#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global
    # to have these messages end up in /var/log/haproxy.log you will
    # need to:
    #
    # 1) configure syslog to accept network log events.  This is done
    #    by adding the '-r' option to the SYSLOGD_OPTIONS in
    #    /etc/sysconfig/syslog
    #
    # 2) configure local2 events to go to the /var/log/haproxy.log
    #   file. A line like the following can be added to
    #   /etc/sysconfig/syslog
    #
    #    local2.*                       /var/log/haproxy.log
    #
    log         127.0.0.1 local0
    log         127.0.0.1 local1 notice

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon

    # turn on stats unix socket
    stats socket /var/lib/haproxy/stats

#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000

#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
#frontend  main *:5000
#    acl url_static       path_beg       -i /static /images /javascript /stylesheets
#    acl url_static       path_end       -i .jpg .gif .png .css .js
#
#    use_backend static          if url_static
#    default_backend             app

#---------------------------------------------------------------------
# static backend for serving up images, stylesheets and such
#---------------------------------------------------------------------
#backend static
#    balance     roundrobin
#    server      static 127.0.0.1:4331 check

#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
#backend app
#    balance     roundrobin
#    server  app1 127.0.0.1:5001 check
#    server  app2 127.0.0.1:5002 check
#    server  app3 127.0.0.1:5003 check
#    server  app4 127.0.0.1:5004 check

frontend main
	mode tcp
	bind *:80
	log global
	option tcplog
	log-format %ft\ %b/%s

	tcp-request inspect-delay 3s
	acl is_https req.payload(0,3) -m bin 160301
	#GET POS(T) PUT DEL(ETE) OPT(IONS) HEA(D) CON(NECT) TRA(CE) 
	acl is_http req.payload(0,3) -m bin 474554 504f53 505554 44454c 4f5054 484541 434f4e 545241
	#SSH
	acl is_ssh req.payload(0,3) -m bin 535348
	tcp-request content accept if is_http
	tcp-request content accept if is_https
	#tcp-request content accept if is_ssh
	tcp-request content accept 
	use_backend https if is_https
	use_backend http if is_http
	#use_backend ssh if is_ssh
	use_backend ssh 

backend ssh
	mode tcp
	#server ssh01 127.0.0.1:22 maxconn 10 check inter 3s
	timeout server 1h
	server server-ssh :22

backend http
	mode tcp
	server ngx01 127.0.0.1:82 maxconn 10 check inter 3s

backend https
	mode tcp
	server ngx02 127.0.0.1:433 maxconn 10 check inter 3s



猜你喜欢

转载自blog.csdn.net/zebra2011/article/details/51225262
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022