Str. https://blog.borry.org/ Nothing. Sun, 10 May 2026 02:36:46 GMT https://validator.w3.org/feed/docs/rss2.html https://github.com/jpmonette/feed zh-CN All rights reserved 2026, Borui <![CDATA[Nginx配置反向代理]]> https://blog.borry.org/article/nginx-reverse-proxy https://blog.borry.org/article/nginx-reverse-proxy Tue, 12 Sep 2023 00:00:00 GMT

前言

Nginx和Apache一样是一款轻量级的web服务器,反向代理服务器。Web服务器我们都知道能够用来托管一个Web服务。

正向代理

很多人可能听说过,或者正在使用代理服务,我们平常所说的代理对于用户来说都是“正向代理”。
正向代理能够向被访问的服务器隐藏访问者的信息,因此也能够通过代理服务器绕过防火墙,访问由于政策原因被限制的网站。
notion image

反向代理

而反向代理,则和正向代理恰恰相反,正向代理代理的是“客户端”,使用代理服务器代理客户端来访问服务器,而反向代理,则是代理的“服务端”,客户端访问服务端访问到的先是代理服务器,通过代理服务器才能够真正连接到目标服务器。
notion image
如上图所示,我们使用反向代理的时候,客户端访问baidu.com,实际上访问到了百度的反向代理服务器,反向代理服务器再根据各个服务器的负载,响应速度来进行分发。这样不仅使得服务端的资源得到了最大的利用,同时还使得位于反代服务器后的业务服务器得到了保护。

安装和配置

安装完成后访问服务器ip,应该会看到nginx的默认欢迎页。
nginx的默认配置文件一般在/etc/nginx/目录下,目录下sites-enabled中的default为nginx的默认欢迎页的配置文件。而nginx的主配置文件为nginx.conf,其中通过include来引用了位于其他目录下的各部分nginx配置文件。

配置文件解读

我们最常用的部分是配置文件中的http块,http块其中又嵌套了server块,每个server块都是一个虚拟主机,Server块中还包含了location块,location块则指定了被访问资源的虚拟位置。
 
以上是一个示例http块,其中包含了一个具有两个location的虚拟主机,如果我们要托管一个静态页面,则可以在location中指定root为静态文件的目录,而如果我们要进行反向代理,则可以使用proxy_pass将指定的url转发到监听的端口上。
listen
监听端口号
server_name
匹配请求中的Host字段,满足端口号和Host字段才会被该虚拟主机捕获
location
location为相对路径,也可使用正则表达式进行匹配
root
静态页面的目录
index
静态页面的主页文件
proxy_pass
要进行反向代理的端口、地址

反向代理的使用场景

在我最开始接触到linux服务器的时候,常常会有多个服务部署在一台服务器上,但由于只有80和443端口可以不带端口号访问,为了访问对应的服务的时候能更优雅,于是才了解到nginx的反向代理,反向代理在我目前使用最多的场景就是在单服务器上的多个服务,通过映射多个域名到服务器,然后nginx通过server_name来分辨目标服务并进行转发。
像这样就可以实现,输入domain1.borry.org访问位于8080端口的服务,输入domain2.borry.org访问位于6789端口的服务,实现了端口的复用。
]]> <![CDATA[使用Github Action来进行CI/CD]]> https://blog.borry.org/article/github-action-ci https://blog.borry.org/article/github-action-ci Tue, 12 Mar 2024 00:00:00 GMT
使用 Github Action来自动化构建Dockerfile,并且将Images推送到Docker Hub。
最后使用SSH连接服务器进行自动部署
]]> <![CDATA[HTTP分块编码传输]]> https://blog.borry.org/article/http-chunked https://blog.borry.org/article/http-chunked Thu, 14 Sep 2023 00:00:00 GMT

HTTP的长连接和短连接

HTTP协议是应用层协议,它是建立在TCP协议之上的。而TCP协议在传输数据之前,需要先通过三次握手来建立连接,并且由于TCP的慢启动的特性,使得一开始不会满负载传输,在不断尝试后才会提高负载。因此便提出了复用TCP的连接的需求,那样将会节约很多时间和资源。
在最早的HTTP/1.0中是不支持长连接的,在每次HTTP响应结束后,都要求必须要结束连接,这就是短连接。
在HTTP1/1.1中在Header中新增了Connection字段,取值为 close 和 keep-alive,close就是对应的HTTP/1.0时期的短连接,而默认则都是keep-alive,即长连接,除非特别声明使用close,否则均为长连接。

如何判断传输是否完成

在HTTP/1.0时不存在这个问题,只要结束连接即可视为传输完成,但在HTTP1/1.1复用TCP连接时,边出现了问题,我要怎么知道使用同一个TCP连接的某一个请求是否响应完成。
而在持久连接中,我们为了判断当前请求是否结束,我们向响应头中增添了一个Content-Length字段,这个字段用于告诉浏览器等客户端,响应体有多大,在读取到一定的数据后即可认为相应结束。
notion image
利用这个字段我们就可以很好的判断响应是否结束,但也因此我们必须要确保Content-Length的大小和实际响应大小要完全一致,如果Content-Length大于实际相应就会导致浏览器一直处于Pending状态,而Content-Length小于实际响应就会导致响应被错误截断,可能会发生意想不到的情况。
在早期的互联网,提前算出响应的大小并放在响应头中是完全可以做到的,但在互联网不断的发展下,相应的内容可能是动态生成的,或是无法提前算出长度。
比如,一个很大的文件,如果你要算出其长度则需要将其先读取到内存中,才能获取到整个文件的大小,但这样则必须确保内存大小足够,但实际上只是为了统计大小,实在有点浪费资源。
又或者,我现在要返回的内容是在不断生成的,我可能正在使用ffmpeg来处理视频,处理的视频文件在不断生成,为了算出响应大小,唯一的办法只能等待文件全部生成完毕然后读取到内存来计算,但这样耗费的时间不说,同样也面临着上面的问题。

分块编码传输 chunked

为了解决以上的问题,在HTTP1/1.1中还增加了一个请求头Transfer-Encoding,在HTTP1/1.1中唯一的取值为chunked。
💡
分块传输的规则:
  1. 每个分块包含一个 16 进制的数据长度值和真实数据。
  1. 数据长度值独占一行,和真实数据通过 CRLF(\r\n) 分割。
  1. 数据长度值,不计算真实数据末尾的 CRLF,只计算当前传输块的数据长度。
  1. 最后通过一个数据长度值为 0 的分块,来标记当前内容实体传输结束。
由于分块编码传输将数据分为长度很短的数据块,并且以0作为结束,那么我们就不需要使用Content-Length来告知浏览器响应何时结束,只需要在读取到结束分块后拼接数据。
而由于分块编码传输的分块特性,分块编码传输建立在TCP连接复用的基础上,所以这也是在HTTP1/1.1中才提出的原因。

分块编码传输的服务端实现

在实习的过程中,由于使用的gofiber来做后端,而在fiber的文档中对分块编码传输的帮助又少之又少,最后是在相关的issue中找到,在下面记录一下代码实现。
🤗 [Question]: How to stream large file for download ?
 
]]> <![CDATA[Tailscale 杂谈NAT]]> https://blog.borry.org/article/tailscale-net https://blog.borry.org/article/tailscale-net Mon, 20 Nov 2023 00:00:00 GMT

前言

随着全球终端设备的增加,IPV4的数量早已经不足以支持为每台设备分配一个独立的公网IP地址。从子网掩码到NAT,都是为了解决IPV4数量不够用的技术,虽然IPV6已经推广了很多年,但由于IPV6和IPV4的协议栈不能直接兼容,必须要得到服务提供商的适配,因此IPV6即使推出很久,市面上的解决方案依旧是使用NAT相关技术,从早年电信会提供公网IP,到现在基本全都是分配的内网路由。
所以现在很难在现代互联网中实现理想中的端到端连接,有着一层层防火墙,NAT,更甚还有ISP运营商的CGNAT。

防火墙和NAT是怎么阻止端到端连接的

防火墙

在Windows和Linux上都有自己的防火墙,Windows上是Windows Defendar防火墙,Linux如ubuntu是ufw等,无论是哪个平台的防火墙,目的都是使用规则来允许或阻止特定的网络流量。用户可以使用规则来配置允许的入站、出站端口、源IP、目标IP,使用的协议等,本质是为了确保本机的网络安全,但却对我们所需要的端到端连接进行了阻碍。所以,即使IPV6进行了普及,类似的组网技术不会消失,因为没有了NAT的阻碍,企业和运营商也会为了网络安全配置防火墙,企业和运营商的网络出口仍然不是个人能够控制的。

NAT

NAT(NETWORK ADDRESS TRANSLATION) 网络地址转换,NAT也是为了解决IPV4地址的短缺而提出的,下面用一个例子来解释NAT是如何工作,以及如何阻止我们进行端到端连接的。
如下:
notion image
我们的Laptop是位于一个192.168.0.0/16的内网地址中,那么他要向一个处于公网的Server(7.7.7.7)通信,如果不经过NAT直接和Server进行通信,Server在进行响应的时候就会产生疑惑,因为内网地址在不同网络中是可以重复的,每个人家中都有可能有一台192.168.0.20的设备,所以Server无法定位到唯一的设备。
因此NAT的作用就是将无法和公网通信的内网IP转为公网IP交由网关进行转发。
  • Laptop 发起请求 Server
  • 请求转发给网关
  • 网关使用NAT对IP数据包进行修改,首先为这个请求分配一个端口用于接收响应,然后维护一条记录,内容为 内网ip:port — 公网ip:port ,最后将数据包中的源地址进行修改再将数据包发往Server
  • Server收到请求后,将响应发回给指定端口,网关即可根据NAT维护的记录得知该将响应转发给内网的哪台设备
通过在网关上维护一个ip:port表,实现了公网IP复用。虽然NAT解决了IPV4地址的短缺,但同时也让网络变得更复杂了,现在只能由Laptop向Server发起单向通信,但Server却没有办法主动向Laptop发起通信请求,因为它无法通过NAT网关来直接访问Laptop。

Tailscale 简介

Tailscale是一个基于wireguard协议的虚拟组网工具,能进行NAT穿透、Relay中转的方式进行虚拟组网。
Tailscale
Tailscale is a zero config VPN for building secure networks. Install on any device in minutes. Remote access from any network or physical location.
Tailscale
https://tailscale.com
Tailscale
说起虚拟组网,大家可能会想到VPN,VPN就是为了在公网中实现加密的内网通信所提出的,它能够利用互联网建立加密的隧道来进行通信,异地组网,企业中为了安全性一般防火墙规则一般都异常严格,因此企业一般都采用VPN来使得员工连接公司内网。

传统VPN

传统的VPN都需要一个拥有公网IP的服务器充当中转,因为无论是NAT还是防火墙,都只会接收本机想要通信的目标所发送的包,因此才需要一个位于公网并且配置了转发表的服务器。
notion image
这样的网络因为都是基于中转服务器进行通信,所以也被称为“星形网络”,网络的上限受困于中转服务器的带宽限制,再加上国内云服务商高昂的带宽使得这种方案在国内收到很大的限制。
notion image

Tailscale 组网

而Tailscale是一个基于wireguard协议的虚拟组网工具,能够实现端对端访问,即最理想的访问方式,我要访问B,那我直接向B发起请求,实现了跨NAT通信。
notion image

原理

但大家可能好奇这是怎么实现的,在层层路由器下,我们的终端设备所能拿到的IP大多都是内网IP段。
💡
内网IP段如下 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
  1. 首先laptop在经过NAT将请求转为一个 ip:port 格式后,向 Server发起请求,但由于Server的NAT表中不存在发向2.2.2.2的请求自然无法实现转发
notion image
  1. 虽然第一步失败了,但是由于laptop向server发起请求,在laptop的NAT上存在了转发关系,此时只要server向laptop的 ip:port 发送请求自然就会被latop的NAT进行转发
notion image
  1. 最后因为Server向laptop发起请求,因此server的NAT表上也有了转发关系,因此也能接受来自laptop的后续请求。
notion image
这样来看是不是很简单,但这只是非常理想的情况,实际的网络环境可能非常复杂,NAT不止一层,防火墙也不止一层,在上面的模型中,甚至第一步都无法顺利实施,在两边都是内网的情况下,谁先发起通信,发给谁,我的公网出口是什么?
感兴趣的可以去看看Tailscale官方的这篇博客
How NAT traversal works
In this post, we’ll talk about how to establish a peer-to-peer connection between two machines, in spite of all the obstacles in the way.
How NAT traversal works
https://tailscale.com/blog/how-nat-traversal-works/
How NAT traversal works
 
]]> <![CDATA[深澜自助服务中心分析]]> https://blog.borry.org/article/srun-analyse https://blog.borry.org/article/srun-analyse Fri, 23 Jun 2023 00:00:00 GMT
💡
该漏洞已被修复,现在只能已登陆的设备才能使用code进行快速跳转。
💡
更新于 2023/12/05
 

使用官网地址进行抓包

为了实现对深澜校园网登陆设备,无感知认证等自动控制,尝试使用抓包了来进行模拟登陆实现。
notion image
登陆非常简单,一个POST请求就可以实现,但是由于验证码的存在,想到了ddddocr来实现验证码识别,但识别效果欠佳,虽然可以自行训练数据集,但是过于麻烦,便就此放弃了这个方案。

使用校园网登陆页面的跳转按钮

在日常使用过程中,无意间发现如果当前已经登陆了校园网,那么点击校园网认证页面的“自助服务”按钮即可直接跳转到自助服务中心不需要手动登陆,通过观察跳转的url,发现本质其实是跳转的url中包含了认证信息。
notion image
经过测试只要拿到data的内容即可实现无需密码登录,便不用考虑验证码的问题。
通过分析认证页面的所有js文件和html中的跳转逻辑,最终成功找到了一个名为 toSelfService一个函数
notion image
在这个函数中详细的写到了url的生成,前面猜想data的内容是静态在这里也得到了证实,将用户名密码进行编码后即可得到data的值,这里猜想会有很多安全隐患,假如这个接口没有其他的防止爆破的保护的话,那么我是否可以利用学号和身份证后六位来试出学校大多数学生的校园网密码。

代码实现

选用Python来进行快速的想法验证,后期会使用Go进行全部重写。
首先,使用requests库的session()来存储登录状态,方便实现登陆后其他操作。
其次,由于校园网的认证页面为10.0.0.0/8的内网地址,因此为了在任何地方都能进行操作,考虑在校内搭建一个代理服务
最后就是很简单的代码实现了
]]> <![CDATA[使用环境变量存储SSH私钥格式错误]]> https://blog.borry.org/article/ssh-environment-key https://blog.borry.org/article/ssh-environment-key Wed, 19 Jul 2023 00:00:00 GMT
如果你想把你的ssh私钥或公钥放到环境变量中,然后在CI系统上访问它,怎么办?
一个键看起来像这样,那么你如何在没有换行的情况下将其转换为base64字符串呢?
首先生成你的钥匙,或者你可以使用任何现有的钥匙,无论是RSA还是ED25519。
将其编码为base64
现在你可以把输出结果复制粘贴到你想要的任何地方,这应该会给你一个有0个换行的字符串。
To verify
你应该看到与你的文件中相同的键。
]]>