0%

ngrok+nginx 实现内网穿透 共用80端口

内网穿透能干嘛:

穿透后,你的机器指定端口就直接暴露在外网上,3389,vnc,web服务等等任何服务都可以支持。微信开发需要回调web服务器接口,如果开发机器在内网,就无法调试。

原理

外网服务器A,内网服务器B,通过某种协议连接,将域名解析到A,A将所有用户请求数据转发到B的指定端口,B返回的数据通过A转给用户,等于在B和用户之间加了代理A

解决方案

内网穿透有现成的商业解决方案,比如说花生壳,但是免费用户只给1g每月的流量,还要花几块钱认证。 网上也有免费的ngrok服务,直接下载对方提供的客户端就可以,但免费的总是不稳定,也有一些限制,需要的同学可以自己搜。 今天我们讨论的是在自己的VPS上架设ngrok服务,访问内网的web服务,场景是这台vps上同时开了着web服务(nginx),所以不能直接将80端口作为ngrok的转发端口, ngrok配置成功后,需要在nginx上作一次转发,才能使用80端口。 机器是centos 6.7。

1、安装最新版git

当前yum安装的git是1.7.1,这个版本太老,编译ngrok时会有问题,需要下载源码编译安装。 源码:https://github.com/git/git 安装方法:

$ tar -zxf git-xxx.tar.gz
$ cd git-xxx
$ make prefix=/usr/local all
$ sudo make prefix=/usr/local install
2、安装编译依赖
yum install zlib-devel openssl-devel perl hg cpio expat-devel gettext-devel curl curl-devel perl-ExtUtils-MakeMaker hg wget gcc gcc-c++ golang
3、域名解析

ngrok的客户端在连接时可以自己指定子域名前缀,所以需要将域名泛解析到外网服务器。 假设子域名形式为 aaa.dev.pocketdigi.com,需要在DNS设置中添加 dev.pocketdigi.com A记录到外网服务器,*.dev.pocketdigi.com cname到 dev.pocketdigi.com

4、安装ngrok
git clone https://github.com/inconshreveable/ngrok.git
cd ngrok

NGROK_DOMAIN="dev.pocketdigi.com"

openssl genrsa -out base.key 2048
openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt

cp base.pem assets/client/tls/ngrokroot.crt

make release-server

生成的服务端在ngrok/bin/ngrokd

5、生成客户端

客户端如果跟编译的机器系统不同,编译前需要加参数,比如编译mac使用的客户端

GOOS=darwin GOARCH=amd64 make release-client

生成的客户端在ngrok/bin/darwin_amd64/ngrok

6、启动服务端

假设ngrok目录在/usr/local/ngrok

/usr/local/ngrok/bin/ngrokd -tlsKey=/usr/local/ngrok/server.key -tlsCrt=/usr/local/ngrok/server.crt -domain="dev.pocketdigi.com" -httpAddr=":8888" -httpsAddr=":444" > /home/logs/ngrok.log &

监听http 8888端口,https 444端口,所有访问到外网服务器8888和444端口的数据都会经过ngrok处理转发。 可以把上面的命令加到/etc/rc.local,实现开机自启动 #####7、启动客户端 将第5步生成的客户端下载到mac电脑上,假设放到/Users/xxx/ngrok目录下. 在该目录新建一个配置文件 ngrok.cfg,内容如下:

server_addr: "dev.pocketdigi.com:4443"
trust_host_root_certs: false

假设我们要将aaa.dev.pocketdigi.com映射到本地的8080端口,新建aaa.dev.pocketdigi.com.sh(可以放到任意位置,文件名也只能方便识别),内容如下:

#!/bin/sh
cd ~/ngrok
nohup ./ngrok -subdomain aaa -config=ngrok.cfg 8080 &

加上执行权限:

chmod +x aaa.dev.pocketdigi.com.sh

在终端中执行 aaa.dev.pocketdigi.com.sh,看到Tunel Status online时,表示连接服务器成功,一台机器可以绑多个域名,重复上面的步骤即可. 现在,启动本地的tomcat,端口8080,可以通过http://aaa.dev.pocketdigi.com:8888访问。 但带着端口号始终不方便,我们可以在运行在服务器80端口上的nginx上做个转发,将 *.dev.pocketdigi.com 转发到 *.dev.pocketdigi.com:8888
添加vhost:

server {
    listen       80;
    server_name  *.dev.pocketdigi.com;
    location / {
             proxy_pass http://$host:8888;
             proxy_redirect off;
             client_max_body_size 10m;   
             client_body_buffer_size 128k; 
             proxy_connect_timeout 90; 
             proxy_read_timeout 90;
             proxy_buffer_size 4k;       
             proxy_buffers 6 128k;        
             proxy_busy_buffers_size 256k;
             proxy_temp_file_write_size 256k; 
        }
    location ~ .*\.(gif|jpg|png|bmp|swf)$ {
                 expires 30d;
        }
    location ~ .*\.(js|css)?$ {
                expires 1d;
    }
}

在http{}里,添加DNS:

resolver      8.8.8.8;

重启nginx,现在可以用http://aaa.dev.pocketdigi.com访问本地8080端口。 所有请求都会走服务器流量,如果服务器同时开着其他服务,速度可能会受影响