商业源码 代理服务器工作原理是什么?
在HTTP通信链上,客户端和目标服务器之间通常存在某些中转代理服务器,它们提供对目标资源的中转访问。一个HTTP请求可能被多个代理服务器转发,后面的服务器称为前面服务器的上游服务器。代理服务器按照其使用方式和作用,分为正向代理服务器,反向代理服务器和透明代理服务器。
正向代理要求客户端自己设置代理服务器的地址。客户的每次请求都将直接发送到该代理服务器,并由代理服务器来请求目标资源。比如处于防火墙内的局域网机器要访问Internet,或者要访问一些被屏蔽掉的国外网站,就需要使用正向代理服务器。
反向代理则被设置在服务器端,因而客户端无需进行任何设置。反向代理是指用代理服务器来接收Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从内部服务器上得到的结果返回给客户端。这种情况下,代理服务器对外就表现为一个真实的服务器。各大网站通常分区域设置了多个代理服务器,所以在不同的地方同一个域名可能得到不同的IP地址,因为这些IP地址实际上是代理服务器的IP地址。
HTTP代理服务器的工作原理
如图所示,正向代理服务器和客户端主机处于同一个逻辑网络中。该逻辑网络可以是一个本地LAN,也可以是一个更大的网络。反向代理服务器和真正的Web服务器也位于同一个逻辑网络中,这通常由提供网站的公司来配置和管理。
透明代理只能设置在网关上。用户访问Internet的数据报必然都经过网关,如果在网关上设置代理,则该代理对用户来说显然是透明的。透明代理可以看作正向代理的一种特殊情况。
代理服务器通常还提供缓存目标资源的功能,这样用户下次访问同一资源时速度将很快。优秀的开源软件squid,varnish都是提供了缓存能力的代理服务器软件,其中squid支持所有代理方式,而varnish仅能用作反向代理。
realme手机可以通过一些软件或应用程序来实现爬墙操作,以访问在你所在国家或地区被禁止或限制的网站和服务。以下是一些可行的方法:
1 ***:使用虚拟私人网络(***)可以隐藏你的网络流量,让你能够绕过封锁,访问被屏蔽的网站。一些受欢迎的***应用程序包括Nord***、Express***和Surfshark。
2 Shadowsocks:Shadowsocks是一个开源的代理软件,它可以加密你的数据并在你和目标服务器之间创建一个虚拟隧道,让你通过墙壁访问互联网。
3 TOR浏览器:TOR浏览器是一个由自愿者组成的网络,它可以帮助你匿名浏览互联网。它通过路由你的流量通过多个节点来隐藏你的IP地址,从而保护你的隐私。
4 SS/SSR插件:许多浏览器和移动应用程序已经有了Shadowsocks和ShadowsocksR(SSR)插件。这些插件可以帮助你在浏览器中使用Shadowsocks,从而方便快捷地**。
需要注意的是,爬墙可能违反你所在国家或地区的法律,使用时需自行承担风险。同时,使用一些免费的爬墙软件可能会存在安全隐患,建议谨慎选择。
以下内容来自公众号逆锋起笔,关注每日干货及时送达
原文:v0wtop/2020/08/11/IntranetProxy
前言
本文以渗透的视角,总结几种个人常用的内网穿透,内网代理工具,介绍其简单原理和使用方法。
1、nps-npc11 简介
nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端。
一台有公网IP的服务器(VPS)运行服务端(NPS)
一个或多个运行在内网的服务器或者PC运行客户端(NPC)
12 特点
Go语言编写
支持跨平台
支持多种协议的代理
web管理端
13 使用方法
https://githubcom/ehang-io/nps/releases
NPS
安装配置
找到自己服务器相应版本的server:
cd ~
wget https://githubcom/cnlh/nps/releases/download/v0232/linux_amd64_servertargz
tar xzvf linux_amd64_servertargz
cd ~/nps
在nps目录下面会有一个nps可执行文件、conf配置目录和web网页目录,我们只需要修改conf/npsconf即可:
vim conf/npsconf
需要改一下#web下面的几个参数,
web_host= 服务器IP或者域名
web_username= admin(登录用户名)
web_password= 你的密码
web_port=8080(web管理端口)
修改#bridge可以更改 NPC的连接端口。比如我们拿到一台权限受限的服务器,有防火墙,可能只有部分端口(80,443)可以出网,就需要修改成出网端口。
##bridge
bridge_type=tcp
bridge_port=443 # 修改连接端口
bridge_ip=0000
启动
#Mac/Linux
/nps test|start|stop|restart|status 测试配置文件|启动|停止|重启|状态
#Windows
npsexe test|start|stop|restart|status 测试配置文件|启动|停止|重启|状态
NPC
/npc -server=你的IP:8024 -vkey=唯一验证密码 -type=tcp
新建好客户端后,也可以在+中看到,详细的客户端连接命令:
在客户端界面可以通过新增的方式添加客户端连接,每一个连接的vkey都是唯一区分的。
每一个客户端,在建立连接后,都可以建立多个不同协议的隧道,这一个个隧道就是不同的代理了。
通过不同的协议和端口就可以连接代理的内网机器。
2、frp
21 简介
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。22 特点
客户端服务端通信支持 TCP、KCP 以及 Websocket 等多种协议。
端口复用,多个服务通过同一个服务端端口暴露。
跨平台,但是支持的比nps少一点
多种插件,提供很多功能
23 使用方法下载: https://githubcom/fatedier/frp/releases
以下内容摘自:https://segmentfaultcom/a/11900000218768361 通过 rdp 访问家里的机器1修改 frpsini 文件,为了安全起见,这里最好配置一下身份验证,服务端和客户端的 common 配置中的token参数一致则身份验证通过:
# frpsini
[common]
bind_port = 7000
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
2启动 frps:
/frps -c /frpsini
3修改 frpcini 文件,假设 frps 所在服务器的公网 IP 为 xxxx:
# frpcini
[common]
server_addr = xxxx
server_port = 7000
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
[rdp]
type = tcp
local_ip = 127001
local_port = 3389
remote_port = 6000
4启动 frpc:
/frpc -c /frpcini
5通过 rdp 访问远程的机器,地址为:
xxxx:6000
开机自启
针对 Windows 系统,为了便于使用,可以配置一下开机的时候静默启动。
1在 frpcexe 的同级目录创建一个 start_frpcvbs:
'start_frpcvbs
'请根据实际情况修改路径
CreateObject("WScriptShell")Run """D:\Program Files\frp_windows_amd64\frpcexe""" & "-c" & """D:\Program Files\frp_windows_amd64\frpcini""",0
2复制 start_frpcvbs 文件,打开以下目录,注意将
改为你的用户名:
C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
3鼠标右击,粘贴为快捷方式即可。
2 通过 SSH 访问公司内网机器
frps 的部署步骤同上。
1启动 frpc,配置如下:
# frpcini
[common]
server_addr = xxxx
server_port = 7000
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
[ssh]
type = tcp
local_ip = 127001
local_port = 22
remote_port = 6000
2通过 SSH 访问内网机器,假设用户名为 test:
ssh -oPort=6000 test@xxxx
3 通过自定义域名访问部署于内网的 Web 服务
1修改 frpsini 文件,设置 http 访问端口为 8080:
# frpsini
[common]
bind_port = 7000
vhost_http_port = 8080
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
2启动 frps:
/frps -c /frpsini
3修改 frpcini 文件,假设 frps 所在的服务器的 IP 为 xxxx,local_port 为本地机器上 Web 服务对应的端口, 绑定自定义域名wwwyourdomaincom:
# frpcini
[common]
server_addr = xxxx
server_port = 7000
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
[web]
type = http
local_port = 80
custom_domains = wwwyourdomaincom
4启动 frpc:
/frpc -c /frpcini
5 将wwwyourdomaincom的域名 A 记录解析到 IPxxxx,如果服务器已经有对应的域名,也可以将 CNAME 记录解析到服务器原先的域名。
6通过浏览器访问http://wwwyourdomaincom:8080即可访问到处于内网机器上的 Web 服务。
4 对外提供简单的文件访问服务
通过static_file插件可以对外提供一个简单的基于 HTTP 的文件访问服务。
frps 的部署步骤同上。
1启动 frpc,启用static_file插件,配置如下:
# frpcini
[common]
server_addr = xxxx
server_port = 7000
# 用于身份验证,请自行修改,要保证服务端与客户端一致
token = abcdefgh
[test_static_file]
type = tcp
remote_port = 6000
plugin = static_file
# 要对外暴露的文件目录
plugin_local_path = /tmp/file
# 访问 url 中会被去除的前缀,保留的内容即为要访问的文件路径
plugin_strip_prefix = static
plugin_http_user = abc
plugin_http_passwd = abc
2通过浏览器访问http://xxxx:6000/static/来查看位于/tmp/file目录下的文件,会要求输入已设置好的用户名和密码。
常用功能
统计面板(Dashboard)
通过浏览器查看 frp 的状态以及代理统计信息展示。
注:Dashboard 尚未针对大量的 proxy 数据展示做优化,如果出现 Dashboard 访问较慢的情况,请不要启用此功能。
需要在 frpsini 中指定 dashboard 服务使用的端口,即可开启此功能:
[common]
dashboard_port = 7500
# dashboard 用户名密码,默认都为 admin
dashboard_user = admin
dashboard_pwd = admin
打开浏览器通过http://[server_addr]:7500访问 dashboard 界面,用户名密码默认为admin。
加密与压缩
这两个功能默认是不开启的,需要在 frpcini 中通过配置来为指定的代理启用加密与压缩的功能,压缩算法使用 snappy:
# frpcini
[ssh]
type = tcp
local_port = 22
remote_port = 6000
use_encryption = true
use_compression = true
如果公司内网防火墙对外网访问进行了流量识别与屏蔽,例如禁止了 SSH 协议等,通过设置use_encryption = true,将 frpc 与 frps 之间的通信内容加密传输,将会有效防止流量被拦截。
如果传输的报文长度较长,通过设置use_compression = true对传输内容进行压缩,可以有效减小 frpc 与 frps 之间的网络流量,加快流量转发速度,但是会额外消耗一些 CPU 资源。
[TLS
从 v0250 版本开始 frpc 和 frps 之间支持通过 TLS 协议加密传输。通过在frpcini的common中配置tls_enable = true来启用此功能,安全性更高。
为了端口复用,frp 建立 TLS 连接的第一个字节为 0x17。
注意:启用此功能后除 xtcp 外,不需要再设置 use_encryption。
代理限速
目前支持在客户端的代理配置中设置代理级别的限速,限制单个 proxy 可以占用的带宽。
# frpcini
[ssh]
type = tcp
local_port = 22
remote_port = 6000
bandwidth_limit = 1MB
在代理配置中增加bandwidth_limit字段启用此功能,目前仅支持MB和KB单位。
范围端口映射
在 frpc 的配置文件中可以指定映射多个端口,目前只支持 tcp 和 udp 的类型。
这一功能通过range:段落标记来实现,客户端会解析这个标记中的配置,将其拆分成多个 proxy,每一个 proxy 以数字为后缀命名。
例如要映射本地 6000-6005, 6007 这 6 个端口,主要配置如下:
# frpcini
[range:test_tcp]
type = tcp
local_ip = 127001
local_port = 6000-6006,6007
remote_port = 6000-6006,6007
实际连接成功后会创建 8 个 proxy,命名为test_tcp_0, test_tcp_1 test_tcp_7。
3、ew31 简介
EW 是一套便携式的网络穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透。但是,现在工具已经不更新了。。。32 特点
轻量级,C语言编写
可以设置多级代理
跨平台
但是只支持Socks5代理
33 使用方法以下使用方法均摘自:http://rootkitercom/EarthWorm/以下所有样例,如无特殊说明代理端口均为1080,服务均为SOCKSv5代理服务
该工具共有 6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)。
1 正向 SOCKS v5 服务器
$ /ew -s ssocksd -l 1080
2 反弹 SOCKS v5 服务器
这个操作具体分两步:
a) 先在一台具有公网 ip 的主机A上运行以下命令:
$ /ew -s rcsocks -l 1080 -e 8888
b) 在目标主机B上启动 SOCKS v5 服务 并反弹到公网主机的 8888端口
$ /ew -s rssocks -d 1111 -e 8888
成功。
3 多级级联
工具中自带的三条端口转发指令, 它们的参数格式分别为:
$ /ew -s lcx_listen -l 1080 -e 8888
$ /ew -s lcx_tran -l 1080 -f 2223 -g 9999
$ /ew -s lcx_slave -d 1111 -e 8888 -f 2223 -g 9999
通过这些端口转发指令可以将处于网络深层的基于TCP的服务转发至根前,比如 SOCKS v5。首先提供两个“二级级联”本地SOCKS测试样例:
a)lcx_tran的用法
$ /ew -s ssocksd -l 9999
$ /ew -s lcx_tran -l 1080 -f 127001 -g 9999
b)lcx_listen、lcx_slave的用法
$ /ew -s lcx_listen -l 1080 -e 8888
$ /ew -s ssocksd -l 9999
$ /ew -s lcx_slave -d 127001 -e 8888 -f 127001 -g 9999
再提供一个“三级级联”的本地SOCKS测试用例以供参考
$ /ew -s rcsocks -l 1080 -e 8888
$ /ew -s lcx_slave -d 127001 -e 8888 -f 127001 -g 9999
$ /ew -s lcx_listen -l 9999 -e 7777
$ /ew -s rssocks -d 127001 -e 7777
数据流向:SOCKS v5 -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks
4、ngrok41 简介
42 特点官方维护,一般较为稳定
跨平台,闭源
有流量记录和重发功能
43 使用方法进入ngrok官网(https://ngrokcom/),注册ngrok账号并下载ngrok;
根据官网给定的授权码,运行如下授权命令;
/ngrok authtoken 1hAotxhmORtzCYvUc3BsxDBPh1H_
/ngrok http 80即可将机器的80端口http服务暴露到公网,并且会提供一个公网域名。
可以通过官网的UI界面查看数据包和流量等等(但是要付费==、)
还可以通过一些命令将内网的文件和其他TCP服务 暴露到公网中。
有授权的设置文件共享
ngrok http -auth="user:password" file:///Users/alan/share
无授权的设置文件共享
ngrok http "file:///C:\\Users\\alan\\Public Folder"
将主机的3389的TCP端口暴露到公网
ngrok tcp 3389
更多使用方法参考:https://ngrokcom/docs
内网渗透之内网穿透
开源内网穿透工具 frp 简单使用教程
http://rootkitercom/EarthWorm/
目前主流web服务器有三个:apache、IIS、nginx。
其中apache是开源的老牌服务器,多用于传统业务,其优点是系统稳定,扩展模块丰富,各种特性支持完整,并且跨平台。
IIS是微软主力打造的web服务器,目前作为Windows系统组件一部分,和微软上层web开发(aspnet)应用接口紧密。
nginx是开源的后起之秀,是俄罗斯开发的一款用于高并发服务的web服务器,主要应用于高并发网站、静态服务器、下载服务器等,其优点是性能更高,支持负载均衡,反向代理。
国产web服务器主要有:
Tengine:是淘宝开发团队基于nginx修改的,优化了资源请求的web服务器,其特点继承nginx,并针对资源请求做了优化。
数蚕web服务器:是数蚕科技基于c++的Linux下的web服务器,主要用于静态页面和简单的计算型服务网站。其特点是支持高并发,支持多进程,c++/c接口良好,支持直接基于C++模板开发。
TTP负载均衡简介
HTTP负载均衡是一种网络解决方案,负责在托管相同应用内容的几台服务器之间分配进入的HTTP或HTTPS流量。由于在多台可用服务器之间均衡了应用请求,负载均衡系统就能防止任何应用服务器变成单一故障点,因而提高了整体的应用可用性和响应能力。它还让你可以随着不断变化的工作负载,轻松地缩小/扩大部署的应用系统的规模,只需添加或删除额外的应用服务器。
哪里使用负载均衡、何时使用?
由于负载均衡系统改进了服务器的利用率,最大限度地提高了可用性,只要你的服务器开始面临繁重负载,或者正为一个较庞大的项目规划架构,就应该使用它。事先规划好负载均衡系统的用途是个好习惯。那样,未来你需要扩展环境规模时,它会证明其用途。
HAProxy是什么东东?
HAProxy是一种流行的开源负载均衡和代理系统,面向GNU/Linux平台上的TCP/HTTP服务器。HAProxy采用了单一线程的事件驱动型架构而设计,它能够轻松地处理10G网卡线路速度,现广泛应用于许多生产环境中。其功能特性包括:自动检查健康状况、可定制的负载均衡算法、支持HTTPS/SSL以及会话速率限制等。
我们在本教程中要达到什么样的目的?
在本教程中,我们将逐步介绍为HTTP网站服务器配置基于HAProxy的负载均衡系统这个过程。
前提条件
你至少需要一台(最好是两台)网站服务器来证实所搭建负载均衡系统的功能。我们假设,后端HTTP网站服务器已经搭建并运行起来。
将HAProxy安装到Linux上
就大多数发行版而言,我们可以使用你所用发行版的软件包管理器来安装HAProxy。
将HAProxy安装到Debian上
在Debian中,我们需要为Wheezy添加向后移植功能。为此,请在/etc/apt/sourceslistd中创建一个名为“backportslist”的新文件,其内容如下:
deb http://cdndebiannet/debian wheezybackports main
更新你的软件库数据,并安装HAProxy。
# apt get update
# apt get install haproxy
将HAProxy安装到Ubuntu上
# apt get install haproxy
将HAProxy安装到CentOS和RHEL上
# yum install haproxy
配置HAProxy
在本教程中,我们假设有两台HTTP网站服务器已搭建并运行起来,其IP地址分别为1921681002和1921681003。我们还假设,负载均衡系统将在IP地址为1921681004的那台服务器处进行配置。
为了让HAProxy发挥功用,你需要更改/etc/haproxy/haproxycfg中的几个项目。这些变更在本章节中予以描述。万一某个配置对不同的GNU/Linux发行版而言有所不同,会在相应段落中加以注明。
1 配置日志功能
你首先要做的工作之一就是,为你的HAProxy建立合适的日志功能,这对将来进行调试大有用处。日志配置内容位于/etc/haproxy/haproxycfg的global部分。下面这些是针对特定发行版的指令,用于为HAProxy配置日志。
CentOS或RHEL:
要想在CentOS/RHEL上启用日志功能,把:
log 127001 local2
换成:
log 127001 local0
下一步,在/var/log中为HAProxy创建单独的日志文件。为此,我们需要改动当前的rsyslog配置。为了让配置简单而清楚,我们将在/etc/rsyslogd/中创建一个名为haproxyconf的新文件,其内容如下。
$ModLoad imudp
$UDPServerRun 514
$template Haproxy,"%msg%\n"
local0=info /var/log/haproxylog;Haproxy
local0notice /var/log/haproxystatuslog;Haproxy
local0 ~
该配置将把基于$template的所有HAProxy消息隔离到/var/log中的日志文件。现在,重启rsyslog,让变更内容生效。
# service rsyslog restart
Debian或Ubuntu:
要想在Debian或Ubuntu上为HAProxy启用日志功能,把:
log /dev/log local0
log /dev/log local1 notice
换成:
log 127001 local0
下一步,为HAProxy配置单独的日志文件,编辑/etc/rsyslogd/中一个名为haproxyconf的文件(或者Debian中的49-haproxyconf),其内容如下。
$ModLoad imudp
$UDPServerRun 514
$template Haproxy,"%msg%\n"
local0=info /var/log/haproxylog;Haproxy
local0notice /var/log/haproxystatuslog;Haproxy
local0 ~
该配置将把基于$template的所有HAProxy消息隔离到/var/log中的日志文件。现在,重启rsyslog,让变更内容生效。
# service rsyslog restart
2 设置默认值
下一步是为HAProxy设置默认变量。找到/etc/haproxy/haproxycfg中的defaults部分,把它换成下列配置。
log global
mode http
option httplog
option dontlognull
retries 3
option redispatch
maxconn 20000
contimeout 5000
clitimeout 50000
srvtimeout 50000
上述配置推荐HTTP负载均衡器使用,但可能不是最适合你环境的解决方案。如果那样,请参阅HAProxy参考手册页,进行适当的改动和调整。
3 网站服务器集群的配置
网站服务器集群(Webfarm)的配置定义了可用的HTTP服务器集群。我们所建负载均衡系统的大部分设置都将放在这里。现在,我们将创建一些基本的配置,我们的节点将在这里加以定义。把从frontend部分到文件末尾的所有配置换成下列代码:
listen webfarm :80
mode http
stats enable
stats uri /haproxystats
stats realm Haproxy\ Statistics
stats auth haproxy:stats
balance roundrobin
cookie LBN insert indirect nocache
option httpclose
option forwardfor
server web01 1921681002:80 cookie node1 check
server web02 1921681003:80 cookie node2 check
“listen webfarm :80”这一行定义了我们的负载均衡系统将侦听哪些接口。出于本教程的需要,我将该值设为“”,这让负载均衡系统侦听我们的所有接口。在实际场景下,这可能不合意,应该换成可从互联网来访问的某个接口。
stats enable
stats uri /haproxystats
stats realm Haproxy\ Statistics
stats auth haproxy:stats
上述设置声明,可以在http://<load-balancer-IP>/haproxystats处访问负载均衡系统的统计数字。这种访问由简单的HTTP验证以及登录名“haproxy”和密码“stats”来确保安全。这些设置应该换成你自己的登录信息。如果你不想让这些统计数字被人看到,那么可以完全禁用它们。
下面是HAProxy统计数字的一个例子。
“balance roundrobin”这一行定义了我们将使用哪种类型的负载均衡。在本教程中,我们将使用简单的轮叫调度算法,这对HTTP负载均衡来说完全绰绰有余。HAProxy还提供了其他类型的负载均衡:
•leastconn:连接数最少的服务器优先接收连接。
•source:对源IP地址进行哈希处理,用运行中服务器的总权重除以哈希值,即可决定哪台服务器将接收请求。
•uri:URI的左边部分(问号前面)经哈希处理,用运行中服务器的总权重除以哈希值。所得结果决定哪台服务器将接收请求。
•url_param:变量中指定的URL参数将在每个HTTP GET请求的查询串中进行查询。你基本上可以将使用蓄意制作的URL(crafted URL)的请求锁定于特定的负载均衡节点。
•hdr(name):HTTP头<name> 将在每个HTTP请求中进行查询,被定向到特定节点。
“cookie LBN insert indirect nocache”这一行让我们的负载均衡系统存储持久性cookie,这让我们得以准确查明集群中的哪个节点用于某一个会话。这些节点cookie将与指定的名称一并存储起来。在我们这个例子中,我使用了“LBN”,但你可以指定自己喜欢的任意名称。节点将为该cookie把字符串作为一个值而存储起来。
server web01 1921681002:80 cookie node1 check
server web02 1921681003:80 cookie node2 check
上述部分对网站服务器节点集群进行了定义。每台服务器都用内部名称(比如web01和web02)、IP地址和独特的cookie串来表示。cookie串可以定义为你需要的任何名称。我使用了简单的node1、node2 node(n)。
启动HAProxy
你完成了配置工作后,可以启动HAProxy,验证一切按预期运行。
在Centos/RHEL上启动HAProxy
使用下列指令,让HAProxy能够在系统启动后启动,并打开它:
# chkconfig haproxy on
# service haproxy start
当然,别忘了启用防火墙中的端口80,如下所示。
CentOS/RHEL 7上的防火墙:
# firewallcmd permanent zone=public addport=80/tcp
# firewallcmd reload
CentOS/RHEL 6上的防火墙:
把下面这一行添加到/etc/sysconfig/iptables中的这部分“:OUTPUT ACCEPT”:
A INPUT m state state NEW m tcp p tcp dport 80 j ACCEPT
然后重启iptables:
# service iptables restart
在Debian上启动HAProxy
使用下列指令启动HAProxy:
# service haproxy start
别忘了启用防火墙中的端口80,为此把下面这一行添加到/etc/iptablesuprules:
A INPUT p tcp dport 80 j ACCEPT
在Ubuntu上启动HAProxy
让HAProxy能够在系统启动后启动,只要在/etc/default/haproxy中将“ENABLED”选项设为“1”:
ENABLED=1
启动HAProxy:
# service haproxy start
然后启用防火墙中的端口80:
# ufw allow 80
测试HAProxy
为了检查HAproxy是否在正常工作,我们可以执行下列步骤:
首先,用下列内容准备好testphp文件:
<php
header('Content-Type: text/plain');
echo "Server IP: "$_SERVER['SERVER_ADDR'];
echo "\nX-Forwarded-for: "$_SERVER['HTTP_X_FORWARDED_FOR'];
>
该PHP文件将告诉我们哪台服务器(即负载均衡系统)转发请求,哪台后端网站服务器实际处理请求。
把该PHP文件放到这两台后端网站服务器的根目录下。现在,使用curl命令,从负载均衡系统(1921681004)提取这个PHP文件。
$ curl http://1921681004/testphp
我们多次运行这个命令时,应该会看到下面两个输出交替出现(由于轮叫调度算法)。
Server IP: 1921681002
X-Forwarded-for: 1921681004
Server IP: 1921681003
X-Forwarded-for: 1921681004
如果我们停止这两台后端网站服务器中的其中一台,curl命令应该仍会执行,将请求定向到另一台可用的网站服务器。
结束语
至此,你应该有了一套完全实用的负载均衡系统,能够在轮叫循环模式下为你的网站节点提供请求。与往常一样,你可以随意更改配置,让它更适合自己的基础设施。希望本教程帮助你让自己的网站项目具有更强的抗压力和更高的可用性。
正如大家已经注意到的那样,本教程所含的设置适用于仅仅一套负载均衡系统。这意味着,我们把一个单一故障点换成了另一个单一故障点。在实际场景下,你应该部署至少两套或三套负载均衡系统,以防范可能出现的任何故障,但这不在本教程的讨论范围之内。
我正在做与你同样的工作,我选择了mongoose,一款开源的http服务器。
http://codegooglecom/p/mongoose/
这是它的网站,可以下载源码,并且协议非常自由。
有不明白之处可以联系我。我正在基于mongoose进行开发。
=========================================
源码在这里可以下载到,http://codegooglecom/p/mongoose/downloads/list
我也只是一个c程序员,不太会网络编程。但用mongoose的确非常简单,因为就是c++写的,你应该看起来不费劲。
代理服务器主要类型:
HTTP代理:最简单的一种代理形式,能够代理客户机的HTTP访问,上网浏览网页使用的都是HTTP协议,通常的HTTP代理端口为80、3128或8080端口。
SOCKS代理:SOCKS代理与HTTP等其他类型的代理不同,它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP协议,也可以是FTP协议,或者其他任何协议,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。SOCKS代理又分为SOCKS4和 SOCKS5,二者不同的是SOCKS4代理只支持TCP协议(即传输控制协议),而SOCKS5代理则既支持TCP协议又支持UDP协议(即用户数据包协议),还支持各种身份验证机制、服务器端远程域名解析(解决DNS污染就靠这个了)等。SOCK4能做到的SOCKS5都可得到,但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS代理。
一、如何使用HTTP代理服务器
HTTP代理服务器的设置方法,对于IE和FireFox设置略有不同。设置前需要先找一些可用的免费代理服务器地址。
1、IE的设置是这样的,打开IE浏览器,选择菜单栏的“工具/Internet选项”。
这时候分两种情况,对于ADSL拨号用户来说,选择一个网络连接后,点“设置”,如下图所示,选中代理服务器,填入地址和端口号。
2、对于局域网用户来说,需要点“局域网设置”,如下图所示,选中代理服务器,填入地址和端口号。
FireFox的设置和IE类似,打开FireFox浏览器,选择菜单栏的“工具/选项”。
这时选择“高级/网络”,点设置,就出现下面的界面,就可以进行代理服务器的设置了,选中“手动配置代理”,然后填写代理服务器的地址和端口。
二、如何使用SOCKS代理服务器
这里就到重点内容了,SOCKS代理是目前功能最为全面,使用最为稳定的代理服务器,我目前上网就只用SSH搭建SOCKS代理服务器上网,访问网络没有任何限制。下面我就着重讲一下如何使用SOCKS代理服务器。
用SSH搭建SOCKS代理上网,建议使用Firefox浏览器,因为Firefox支持SOCKS代理远程域名解析,而IE只能通过类似SocksCap这样的第三方软件实现,不是很方便。
配置Firefox浏览器
1、在Firefox设置SOCKS远程域名解析,主要是为了防止DNS污染,具体设置方法是,在Firefox地址栏中,输入 about:config ,按确认,修改里面的一项数值,改成 networkproxysocks_remote_dns=true 就可以了。
2、然后,打开FireFox浏览器,选择菜单栏的“工具/选项”。选择“高级/网络”,点设置,就出现下面的界面,就可以进行代理服务器的设置了,选中“手动配置代理”,然后在SOCKS主机上,填写代理服务器的地址127001,端口1080,SOCKS类型选择“SOCKS V5”,这时Firefox就配置结束。
设置SSH
配置好了Firefox,就该配置SSH了,安全外壳协议(Secure Shell Protocol / SSH)是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。常用的SSH工具有开源软件PuTTY,支持SSH远程登录的主机可以实现socks5代理服务器的功能,不过在PuTTY中没有配置文件,需要手动设置才能实现,且无法保存,而PuTTY完整版自带的pLink可以实现命令行方式调用PuTTY实现SSH的加密通道。
具体的方法是,去PuTTY官方网站下载pLink这个文件,pLink的调用参数是:plink -C -v -N -pw 密码 -D 本地端口 远程用户@IP或域名:远程希望打开的端口。
新建一个文件,写入以下内容,另存为pLinkbat批处理文件,并放在Putty的安装目录内。
@plink -N Username@sshServer -pw Password -D 127001:1080
请将Username sshServer Password三处改为用户自己登陆SSH服务器的用户名、服务器地址和密码。这个SSH帐号可以通过多种方法获得,例如用户购买了某些国外主机空间或VPS就会有SSH帐号,或者在淘宝网也有SSH帐号出售,我自用的SSH帐号是用每年100美元购买虚拟主机时赠送的,通常SSH帐号的价格大约是每年几十元人民币左右,也有少量国外网站提供免费的SSH帐号。
执行这个批处理文件,保持其窗口开启,一旦关闭窗口代理便失效。然后打开已经配置好127001:1080的Socks5代理的Firefox浏览器,就可以使用SOCKS代理服务器上网了。
其他设置技巧
为了方便代理服务器的快速切换,我推荐两个FireFox代理服务器扩展,一个是QuickProxy,可以实现一键切换代理功能,QuickProxy安装后在状态栏有一个按钮,点击后可以启用、关闭Firefox浏览器的默认代理设置,可以快速在代理和非代理之间切换,很方便。界面如下图所示。另一个是AutoProxy,通过一份无法访问的域名列表目录,实现自动在代理和非代理之间切换,该域名列表目录由志愿者手动维护。AutoProxy还可实现自定义您自己的代理规则;订阅规则列表;自定义代理服务器等功能。使用AutoProxy的时候需要注意,点“代理服务器-编辑代理服务器”,将ssh -D的端口由7070修改为1080,点“代理服务器-选择代理服务器”,将ssh -D设置为默认。
设置完成了之后,你就可以自由自在地在开放的互联网上傲游了。
1、jmeter的架构和loadrunner原理一样,都是通过中间代理,监控和收集并发客户端发出的指令,把他们生成脚本,再发送到应用服务器,再监控服务器反馈结果的一个过程;\x0d\ 2、分布式中间代理功能在jmeter中也有,这个分页式代理是指可设置多台代理在不同PC中,通过远程进行控制,即通过使用多台机器运行的谓的agant来分担load generator自身的压力,并借引来获取更大的并发用户数,loadrunner也有此功能;\x0d\ 3、jmeter安装简单,只需要解压jmeter文件包到C盘上就可以了,不用安装,要是你想执行调试测试脚本,前提是:装上jdk和netbean插件,而loadrunner安装包有1G多,在一台P30,1G内存的PC上安装要一个多小时,要是装过旧的盗版还不能再装新版,解决办法倒是有,但麻烦且花时间;\x0d\ 4、Jmeter没有IP欺骗功能,IP欺骗是指在一台PC上多个IP地址分配给并发用户,这个功能对于模拟较真实的用户环境来说,是较有用,loadrunner有此功能;\x0d\ 5、jmeter也提供了一个利用本地proxy server(代理服务器)来录制生成测试脚本的功能,但是这个功能并不好用,测试对象的个别参数要手工增加上去,还得附带装个IE代理,如 GoogleToolbarDownloader这些插件来捕捉参数,但是有一个工具badbody,利用这个工具可以录制操作,然后选择将脚本保存为jmeter脚本,然后利用jmeter可以打开并修改脚本;\x0d\ 6、Jmeter的报表较少,对于要分析测试性能不足作为依据。如要知道数据库服务器或应用程序服务的cpu,money等参数,还得在相关服务器上另外写脚本记录服务器的性能;\x0d\ 7、jmeter做性能测试,主要是通过增加线程的数目,或者是设置循环次数来增加并发用户,而loadrunner可以通过在场景中选择要设置什么样的场景,然后选择虚拟用户数;\x0d\ 8、jmeter可以通过逻辑控制器实现复杂的测试行为,相当于loadrunner中的测试场景;\x0d\ 9、jmeter可以做web程序的功能测试,利用jmeter中的样本,可以做灰盒测试,loadrunner主要用来做性能测试;\x0d\ 10、jmeter是开源的,但是使用的人较少,网络上相关资料不全面,需要自己去揣摩,而loadrunner是商业软件,如果是正版本,有技术支持,同时,网络上的资料相当多;\x0d\ 11、Jmeter的脚本修改,主要是针对jmeter中各个部件的熟悉程序,已经相关的一些协议的掌握情况,而不依赖于编程,而loadrunner除了复杂的场景设置外,还需要掌握函数,修改脚本。
0条评论