2. 程式人生 > 其它 >Nginx反向代理FTP(公網IP代理到內網IP)

Nginx反向代理FTP(公網IP代理到內網IP)

阿新 發佈:2021-11-09

一、Nginx反向代理通常只做七層負載均衡,但現在我叢集需要FTP做檔案系統,上傳下載web檔案,所以要做TCP “四層代理”,Nginx要是想實現四層負載均衡,就需要新增“--with-stream” 模組。

二、環境軟體版本準備

系統:CentOS Linux release 7.2.1511 (Core)

軟體:Nginx-1.18

三、安裝編譯環境

yum install -y pcre-devel zlib zlib-devel gcc gcc-c++ make

四、檢視nginx版本和已安裝的模組,沒有--with-stream

nginx -V
nginx version: nginx
 
/1.18.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_gzip_static_module --http-proxy-temp-path=/usr/local/nginx/proxy --http-fastcgi-temp-path=/usr/local/nginx/fcgi --http-uwsgi-temp-path=/usr/local/nginx/uwsgi --http-scgi-temp-path=/usr/local/nginx/scgi --with-pcre --with-http_ssl_module

五、我叢集已經做了nginx代理,所以只需要平滑新增“--with-stream”模組,切換到nginx-1.18原始碼目錄操作

cd /usr/local/nginx/sbin/              #先備份nginx啟動檔案,關閉nignx服務
[root@RS2 sbin]# cp nginx nginx.old
[root@RS2 sbin]#systemctl stop nginx
[root@RS2 sbin]#cd /root/app/nginx-1.18.0
[root@RS2 nginx-1.18.0]#./configure \
--prefix=/usr/local/nginx \
--user=nginx \

 
--group=nginx \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--http-proxy-temp-path=/usr/local/nginx/proxy \
--http-fastcgi-temp-path=/usr/local/nginx/fcgi \
--http-uwsgi-temp-path=/usr/local/nginx/uwsgi \
--http-scgi-temp-path=/usr/local/nginx/scgi \
--with-pcre \
--with-http_ssl_module \
--with-stream
[root@RS2 nginx-1.18.0]#make
[root@RS2 nginx-1.18.0]cp ./objs/nginx /usr/local/nginx/sbin/nginx

六、vsftpd服務端配置,安裝過程就不放出來了,用的yum。ftp用的虛擬使用者連線

[root@serverA vsftpd]# cat vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
guest_enable=YES
guest_username=virtftp
pasv_enable=YES
pasv_promiscuous=YES
#pasv_address=192.168.1.13
pasv_address=193.168.0.128
pasv_min_port=8000
pasv_max_port=8002
max_clients=50
max_per_ip=3
allow_writeable_chroot=YES

pam_service_name=vsftpd.vu
user_config_dir=/etc/vsftpd/ftp_user
userlist_enable=YES
tcp_wrappers=YES

pasv_promiscuous關閉存在安全隱患;
在實際組網情況下,Nginx轉發時可設定保留源IP資訊,但是客戶端與服務端無法直接訪問,因此只能放棄保留源IP資訊。

七、Nginx_proxy配置,stream模組是四層負載均衡,是和http模組同一級別,剛開始我做不知道,錯把stream放在http模組裡,導致一直如下報錯

[root@RS2 conf.d]# nginx -t
nginx: [emerg] "stream" directive is not allowed here in /usr/local/nginx/conf.d/ftp.conf:1
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

八、知道原因後,我們把stream寫在,nginx.conf中便可

[root@RS2 nginx]# vim /usr/local/nginx/conf/nginx.conf
stream {
upstream ftp {
    server 192.168.1.10:21;
    }
server {
    listen 1100;
    #失敗重試
    proxy_next_upstream on;
    proxy_next_upstream_timeout 0;
    proxy_next_upstream_tries 0;
    #超時配置
    proxy_connect_timeout 1s;                                                               
    proxy_timeout 10m;                                                                      
    #限速配置                                                                               
    proxy_upload_rate 10240k;                                                               
    proxy_download_rate 20480k;                                                             
    #上游伺服器                                                                             
    proxy_pass ftp;                                                                         
   } 
upstream ftp_1 {
    server 192.168.1.10:8000;
   }
server {
    listen 8000;
    proxy_pass ftp_1;
   }
upstream ftp_2 {
    server 192.168.1.10:8001;
   }
server {
    listen 8001;
    proxy_pass ftp_2;
   }         
upstream ftp_3 {
    server 192.168.1.10:8002;
   }
server {
    listen 8002;
    proxy_pass ftp_3;
   }

這裡在ftp_1,ftp_2,ftp_3就不配置資料連線的具體控制(諸如限速)

九、把服務都重啟一遍不報錯,就開始測試連線,我這裡用的物理機windows10訪問,和用web3主機測試連線

1.windows10

2.web3,這要連線,還需要在web3新增一張網絡卡,是和nginx_proxy同外網段的IP地址,這裡就把他當成外網主機,模擬外網主機連線ftp伺服器

[root@serverC ~]# ftp 193.168.0.128 1100
Connected to 193.168.0.128 (193.168.0.128).
220 (vsFTPd 3.0.2)
Name (193.168.0.128:root): ftpadmin
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (193,168,0,128,31,66).
150 Here comes the directory listing.
-rw-r--r--    1 0        0               0 Oct 22 08:10 22
-rw-r--r--    1 0        0              25 Oct 06 02:54 index.html
-rw-r--r--    1 0        0              45 Oct 06 03:07 index.php
-rwxr-xr-x    1 0        0             400 Oct 17 08:03 inotifyrsync.sh
-rw-------    1 0        0           33642 Oct 23 06:00 nohup.out
drwxr-xr-x   12 0        0            4096 Oct 06 03:07 phpMyAdmin
drwxr-xr-x    5 1006     1006         4096 Oct 22 21:41 wordpress
226 Directory send OK.
ftp>

十、這樣做Nginx可以反向代理FTP,但也有弊端

存在以下缺點:

  • 控制連線和資料連線是否來自同一連線無法驗證,存在安全隱患;
  • FTP被動模式下,資料埠範圍較寬時,Nginx新增配置比較麻煩;
  • Nginx代理機需要開放較多埠,諸如iptables,firewall等安全設定複雜。
一入運維深似海, 從此背鍋不是我。

相關推薦

Nginx反向代理FTP公網IP代理IP

一、Nginx反向代理通常只做七層負載均衡,但現在我叢集需要FTP做檔案系統,上傳下載web檔案,所以要做TCP “四層代理”,Nginx要是想實現四層負載均衡,就需要新增“--with-stream” 模組。

雲伺服器的公網IPIP的區別

經典網路的IP IP地址是您訪問ECS例項或者您的使用者訪問部署在ECS例項的服務的主要方式。經典網路IP地址由阿里雲統一分配,分為IP地址和公網IP地址。

Android開發獲取手機IP地址與外IP地址的詳細方法與原始碼例項

在進行Android應用開發過程中,有時候會遇到獲取當前Android裝置所使用的網路IP地址的場景,有時候需要本地的網路IP地址,即區域網地址,更多的時候是需要當前網路的真實的對外IP地址,即真實的網路地址,如大資料分析

〖教程〗Ladon探測域名IP(只允許域名訪問站點)

前言 在內滲透中,有時候你會發現有些WEB無法通過IP訪問,主要原因是目標對網站進行了域名繫結,尤其是同服上有多個域名站點的。這時候你訪問可能報401、403、404等錯誤,或者也不報錯返回IIS或APACHE等預設頁面,

go IP及外IP獲取

流傳的go版本獲取都不準確,所以想到之前看到的python版本,通過擬一個UDP連線來獲取

多測師講解python_模組匯入模組和建模組_高階講師肖sir

#自定義模組# from aaa import *#指定匯入某個包中具體的類、函式、方法## A.fun1(2,2)

ansible 獲取 IP

問題:   由於線上機器是多家廠商的且絡卡會有公網IPIP都繫結情形,並且有些服務必須保證監聽IP,但在host檔案配置中有可能是IP,也有可能是公網IP

髮卡原始碼下載帶搭建教程企業多商戶髮卡原始碼

  髮卡原始碼類似於線下無人售貨機的核心,一套高效執行的企業髮卡原始碼可以為平臺上的不同商戶提供穩定的髮卡服務,一方面顧客可以24小時無憂的選擇自己所需的商品,另一方面為商家節省大量的營銷成本。平臺

【抄】IP

IP段 常見的IP段有: 10.0.0.0/810.0.0.0 - 10.255.255.255172.16.0.0/12172.16.0.0 - 172.31.255.255192.168.0.0/16192.168.0.0 - 192.168.255.255以上三個段分別屬於A、B、C三類IP地址,來自 《RFC

2021-12-17 深入理解動態IP,外IP,IP

什麼是外網IP 我們的網際網路就好比一條寬闊的馬路,網上的各種網站,提供服務的IDC,就好比馬路邊上的各種底商。大家都知道底商是直接開在馬路邊上的,他們的大門直接對著馬路,目的是為了方便顧客進出購物,消

AKS (5) 使用AKS負載均衡器-自動建立IP地址 Windows Azure Platform 系列文章目錄

  《Windows Azure Platform 系列文章目錄》     我們在使用Azure AKS的時候,還可以把服務暴露在內負載均衡器上,這樣公網的使用者無法訪問AKS叢集上的服務。

如何將 IP 對映到外

第一步 首先登陸你的路由器,就改密碼那個。一般就用瀏覽器直接開啟192.168.1.1就可以,賬號密碼有可能是 admin admin吧,預設可能是這個。不對的看下面的方法.

使用cpolar穿透最低成本搭建網站

在普通電腦使用者看來,建立自己的網站總是一件高大上的事情,這個網站不僅可以成為展示自己的平臺,還能成為商業的載體。在以往,建立一個像樣的網站,不僅需要過硬的程式設計知識做基礎,還需要有足夠的資金租用伺

Nginx通過二級目錄路徑對映不同的反向代理,規避IP+埠訪問

這是我上一家公司的案例總結,發現躺在草稿箱好幾個月了,今天得空就整理髮布一下。

Nginx反向代理和負載均衡後端複習

Nginx反向代理和負載均衡後端複習 一,Nginx基礎 1.Nginx簡介 nginx是一個開源高效能,可靠的http中介軟體,代理服務。它是一個web伺服器,可以用作反向代理,負載均衡器和http快取

Swoole 繫結域名 80 埠 Nginx 反向代理

啟動 Swoole 的 http server,可以使用 IP + 埠 進行訪問 建立 Nginx 虛擬域名 vim swotp.liuguofeng.com.conf

Docker學習筆記之-部署.Net Core 3.1專案到Docker容器,並使用Nginx反向代理CentOS7(二)

接著上一節沒有演示完的繼續,連結:Docker學習筆記之-部署.Net Core 3.1專案到Docker容器,並使用Nginx反向代理CentOS7(一)

Nginx學習筆記三、Nginx反向代理與負載均衡

目錄: 正向代理與方向代理簡介 正向代理基本操作指令 反向代理基本操作指令

mac nginx對映ip和埠_步驟四、nginx反向代理

技術標籤:mac nginx對映ip和埠 寫在前面: 上一步,我們已經部署好了靜態網頁

nginx 反向代理proxy_passcookie,session丟失問題

nginx 反向代理proxy_passcookie,session丟失問題 1、丟失原因 請求的介面地址經過反向代理後,所攜帶的 cookie 並沒有一同攜帶到反向代理的地址。因此就導致了 session 失效。