Category Archives

實現了一個端口服務復用的透明代理，可以在同一個端口上運行多個協議。根據每次連接中客戶端發起的首個請求檢測協議，根據協議或各種條件選擇代理的上游。

需要打一個補丁。由@fcicq在這個討論中貢獻。這個補丁實現了BSD的socket recv()語義。目前官方也有這個feature的PR。

示例配置：

示例中服務監聽在80端口，並定義規則：

• 如果客戶端來自 10.0.0.1，代理到 internal-host.com:80
• 如果請求協議是HTTP 而且客戶端來自10.0.0.2，代理到 internal-host:8001
• 如果請求協議是 SSH，代理到 github.com:22
• 如果請求協議是 DNS，代理到 1.1.1.1:53
• 如果請求協議是 SSL/TLS 而且現在的時間是 0 到 30分，代理到 twitter.com:443
• 如果請求協議是 SSL/TLS 而且現在的時間是 31 到 59分，代理到  www.google.com:443
• 以上均不滿足，代理到 127.0.0.1:80

說明

• 只能實現識別連接建立後客戶端先發送請求的協議，不兼容服務端先發送響應的協議（比如FTP，SMTP等）
• 如果實現了ngx.reqsock.peak()，則可以使用ngx_stream_proxy來轉發流量，這樣的話除了首個請求以外同一連接的後續請求將沒有額外的性能損失；目前只能在Lua層轉發。

Read More→

最近給暢言加上了單點登錄，也就是可以用網站的帳號來在暢言上發射評論。暢言會通過你設置的一個接口來獲得用戶名，頭像等。但是我發現隊友暢言會頻繁請求這個接口，有時候會達到單個用戶一秒鐘好幾次？？

雖然在php層有redis，壓力不會很大，但是這樣頻繁的請求還是會中防CC的策略，影響用戶正常的瀏覽。所以我決定在CDN上做個緩存。

Read More→

基於OpenResty ，MaxMind GeoIP數據庫和從bgp.he.net生成的ASN數據庫，因為沒有經緯度的需求所以沒有顯示。下文有源代碼的鏈接，如果需要可以自行修改加上經緯度或者將輸出變為JSON等。

這裡有chrome插件

使用方法

查詢當前IP地理位置

$ curl http://cidr.me/
x.x.x.x
Country, City
ASN number

查詢當前IP

$ curl http://cidr.me/ip
x.x.x.x

查詢指定IP的地理位置

$ curl http://cidr.me/74.125.203.199
74.125.203.199 th-in-f199.1e100.net
United States, Mountain View
AS15169 Google Inc.

查詢域名的地理位置

$ curl http://cidr.me/www.google.com.hk
172.217.3.195 sea15s12-in-f3.1e100.net
United States, California, Mountain View
AS15169 Google LLC

2607:f8b0:400a:809::2003 sea15s12-in-x03.1e100.net
United States
AS15169 Google LLC

查詢域名的IP

$ curl http://cidr.me/www.google.com.hk/ip
74.125.203.199
2607:f8b0:400a:809::2003

查詢域名的IP和CNAME（如果存在）

$ curl http://cidr.me/www.google.com.hk/dns
www-wide.l.google.com 74.125.203.199

源代碼

在這裡https://gist.github.com/fffonion/44e5fb59e2a8f0efba5c1965c6043584

需要ngx_http_geoip_module, echo-nginx-module, lua-nginx-module，安裝libgeoip，並將maxmind的舊版geoip數據庫放在/usr/share/GeoIP

通過bgp.he.net生成ASN數據庫

Read More→

功能類似於dlundquist/sniproxy

推薦 OpenResty 加上 stream 模塊和 ngx_stream_lua_module 模塊。在 1.9.15.1 上測試通過。

示例配置：

A Lua table sni_rules should be defined in the init_worker_by_lua_block directive.

The key can be either whole host name or regular expression. Use . for a default host name. If no entry is matched, connection will be closed.

The value is a table containing host name and port. If host is set to nil, the server_name in SNI will be used. If the port is not defined or set to nil, 443 will be used.

Rules are applied with the priority as its occurrence sequence in the table. In the example above, twitter.com will match the third rule rather than the fourth.

If the protocol version is less than TLSv1 (eg. SSLv3, SSLv2), connection will be closed, since SNI extension is not supported in these versions.