proxy-tcp
v0.2.1
Published
map local port to remote address directly or by http tunnel, bypass firewall, expose less service port to external network like internet
Downloads
8
Readme
安装、运行
安装
npm -g install proxy-tcp运行:推荐使用 pm2
第一个参数为配置文件的路径,其中 .mapping 中设置端口映射关系。
by pm2
cd `npm -g root`/proxy-tcp
pm2 start . --name proxy-tcp --instances 2 -- "./example/pm2.json"or
pm2 start `npm -g root`/proxy-tcp/example/pm2.jsonedit pm2.json, change mapping part to meet your requirement.
direct from shell
proxy-tcp `npm -g root`/proxy-tcp/example/pm2.jsonintroduce
连接内网被屏蔽互联网访问的 tcp 服务,如 oracle
(directly)
/ -------------------> \
client ------> proxy-tcp target(TCP server)
(TCP server) \ --- http tunnel ---> /
^
(http server that accept method:connect request)客户端侧启动 port mapper,将连接到本地端口的连接接续到最终目标监听地址,包括两种方式:
- 直接通过 net.connect 接续到目标地址
- 间接通过 http.request({method:'connect',...} 通过 http tunnel 来连接目标地址
配置数据格式,形如
"mapping": {
"127.0.0.1:6003": {
"target": "qhtdb1:61521",
"proxy": "localhost:80"
},
":6001": {
"target": "qhtdb1:61521"
}
}- key 为监听地址,格式如 ip:port,其中ip为监听多个地址中的那个地址,可以为空(默认监听所有地址)
- 配置项中有 proxy 的代表要通过 http tunnel 接续,target 地址必须是 http tunnel proxy 可以解析和访问的地址
- 配置项中没有 proxy 的代表要直接连接最终目标地址,target 地址必须是本 tcp proxy 可以解析和访问的地址
use cases
In DMZ
在 DMZ 区域,防火墙策略经常是内网地址到外网地址之间双向不能直接连接, 只能通过 DMZ 区的地址间接连接。
通过本代理,一方比如说外部要想访问内部服务,可以采用如下方案:
- 在 DMZ 区域启动本代理,配置本地端口(外网地址)到内网地址(host:port)的映射关系
- 原外网客户端配置访问代理外网地址和端口即可访问到内网服务
意义:
- 在DMZ 部署带有应用逻辑的软件不方便,因为受到网络访问限制,更新调试都受到影响
- 有了本代理,将DMZ两侧TCP连接接续,又不破坏企业的防火墙配置策略,避免和运维单位人员冲突
- 对于内外侧的网络应用程序,开发时完全不用考虑DMZ的影响,只当是可以直连,不必修改架构
hide internal TCP service behind firewall, access through exposed http service
很多时候,组织内部网络中的服务,特别是http服务,通过一个统一的对外 reverse http server 来访问, 外部互联网用户访问该组织的服务,都先访问该对外http服务,并由之反向代理到内部http服务。 但是,当一些内部服务,如 oracle service,他是基于 TCP 而不是 http 的, 那么默认情况下,oracle client 端软件只能直接发出TCP数据,无法使用 http tunnel。 因此,可以做以下三项工作来弥补:
- 网关http service支持 http tunnel,将 connect host:port 请求代理到内部目标TCP服务
- 客户端侧启动本代理,将本地端口映射为访问http tunnel再转到目标内部TCP服务地址
- 客户端从原来的直接指定目标地址,转变为指定本代理的监听地址