HAProxy反向代理SNI通配符

时间:2014-07-19 10:25:42

标签: reverse-proxy haproxy sni

我的HAProxy配置需要一些帮助。我目前正在使用HAProxy 1.5通过改变的DNS条目反向代理它们来访问geoblocked网站。 (https://github.com/trick77/tunlr-style-dns-unblocking)。

现在我偶然发现了一个问题,因为我必须代理一个服务器的许多子域(比如abc.xyz.com,def.xyz.com,...)。 是否可以使用* .xyz.com之类的东西为我的配置创建一个通配符,这实际上适用于SNI和该域的所有子域?

非常感谢你!

global
  daemon
  maxconn 200
  user haproxy
  group haproxy
  stats socket /var/run/haproxy.sock mode 0600 level admin
  log /dev/log  local0 debug
  pidfile /var/run/haproxy.pid
  spread-checks 5

defaults
  maxconn 195
  log global
  mode http
  option httplog
  option abortonclose
  option http-server-close
  option persist
  option accept-invalid-http-response

  timeout connect 20s
  timeout server 120s
  timeout client 120s
  timeout check 10s
  retries 3

# catchall ------------------------------------------------------------------------

frontend f_catchall
  mode http
  bind *:80
  log global
  option httplog
  option accept-invalid-http-request

  capture request  header Host len 50
  capture request  header User-Agent len 150

  #--- xyz.com
  use_backend b_catchall     if { hdr(host) -i abc.xyz.com }


  default_backend b_deadend

backend b_catchall
  log global
  mode http
  option httplog
  option http-server-close

  #--- xyz.com
  use-server abc.xyz.com                    if { hdr(host) -i abc.xyz.com }
  server abc.xyz.com abc.xyz.com:80 check inter 10s fastinter 2s downinter 2s fall 1800

frontend f_catchall_sni
  bind *:443
  mode tcp
  log global
  option tcplog
  no option http-server-close

  tcp-request inspect-delay 5s
  tcp-request content accept               if { req_ssl_hello_type 1 }

  #--- abc
  use_backend b_catchall_sni               if { req_ssl_sni -i abc.xyz.com }

  default_backend b_deadend_sni

backend b_catchall_sni
  log global
  option tcplog
  mode tcp
  no option http-server-close
  no option accept-invalid-http-response

  #---xyz.com
  use-server abc.xyz.com                    if { req_ssl_sni -i abc.xyz.com }
  server abc.xyz.com abc.xyz.com:443 check inter 10s fastinter 2s downinter 2s fall 1800

# deadend ------------------------------------------------------------------------

backend b_deadend
  mode http
  log global
  option httplog

backend b_deadend_sni
  mode tcp
  log global
  option tcplog
  no option accept-invalid-http-response
  no option http-server-close

2 个答案:

答案 0 :(得分:8)

我终于找到了解决方案。但它不是在文档中。

使用-m end而不是-i作为通配符

if { req.ssl_sni -m end .abc.xyz.com }

答案 1 :(得分:1)

您可以使用ssl_fc_sni。这样的事情有效:

use_backend api if { ssl_fc_sni api.example.com }
use_backend web if { ssl_fc_sni app.example.com }
相关问题
最新问题