服务器配置 nignx 缓存 +frp 转发内网服务

框架图

nginx 缓存

因为服务器没有 ipv6，所以只能 frp 转发了。转发后，ip 就一直是 127.0.0.1 了（sad）。

nginx 的配置 proxy_cache 策略，分为静态资源缓存和动态资源缓存，（相对的缓存一些短时间变化少的 html）。


    proxy_cache_path $cachePath/nginxCache/static levels=1:2 keys_zone=static_cache:100M inactive=30d max_size=10g;
    proxy_cache_path $cachePath/nginxCache/dynamic levels=1:2 keys_zone=dynamic_cache:50M inactive=1h max_size=1g;

使用正则表达式匹配为不同的资源设置不同的策略，对相应成功的状态码进行缓存，设置缓存 key，为了方便调试添加 X-Cache-Status 头部。

下面是常见的静态资源示例


    # static
    location ~* (/preview)|(\.(svg|ico|gif|jpg|jpeg|png|mp3|woff2|pdf|doc|docx|xls|md))$
    {
        proxy_pass https://$back-end;
        # cache
        proxy_cache static_cache;
        proxy_cache_valid 200 301 30d;
        proxy_cache_valid 206 302 15d;
        proxy_cache_key $host$uri$is_args$args;
        add_header X-Cache-Status $upstream_cache_status;
        expires 30d;
    }
}

动态缓存示例（对短时间内变化不大的 html)


    # html
    location ~* \.(html|htm)$ {
        proxy_pass https://$host:10010;
        # cache
        proxy_cache static_cache;
        proxy_cache_valid 200 302 30m;
        proxy_cache_valid 206 301 10m;
        proxy_cache_key $server_name$uri$is_args$args;
        add_header X-Cache-Status $upstream_cache_status;
        add_header Cache-Control private;
        expires 1m;
    }

但是没有配置 cache_purge 清除缓存，目前还没想好如何防止别人使用了这个接口。不过配置了缓存的持续时间，问题不大。

frp 转发

本来想的是使用 ipv6 直接本地 host 域名结合 nginx 转发，但是可惜我的服务器没有 IPv6，只能选择 frp 了，自行配置 token 或者其他验证方式。

frpc.ini 配置如下


[common]
server_addr = frpsHost
server_port = frpsPort

[https]
type = https
local_ip = 127.0.0.1
local_port = your_local_port
custom_domains = xx.yy.cc

frps.ini 配置如下


[common]
bind_addr = 0.0.0.0
bind_port = frpsPort

vhost_https_port = $endPort

nginx 转发

服务器的 host 文件添加解析 xx.yy.cc 记录为本地 127.0.0.1，设置 dns 解析为本地的 127.0.0.53，也可以自行搭建 dns 服务器。
nginx 中配置转发，因为我在之前用了 proxy_protocol。所以可以直接从 $proxy_protocol_addr 获取真实 ip。
转发的端口设置为 frps 中配置的 vhost_https_port = $endPort，不能以 localhost 转发，不然会丢失 tls 的 sni 信息。


    server_name xx.yy.cc;
    proxy_set_header X-Real-IP       $proxy_protocol_addr;
    proxy_set_header X-Forwarded-For $proxy_protocol_addr;
    proxy_set_header  Host $http_host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_ssl_server_name on;  
    resolver 127.0.0.53;

    location / {
        proxy_pass https://$host:$endPort;
    }

遇到的问题

一开始一直 502，代理服务器的日志不能看出任何的端倪。在内网服务器内抓包发现，tls 握手失败。
为了加速初次打开网页的体验，我在内网服务器配置的 TLS 协议只有 1.3 的选项。ssl_protocols TLSv1.3; wireshark 的 tls 握手报文提示 fatal alert: protocol_version。在内网服务器内添加 tls1.2 后，能正常访问了。

不太清楚为什么 nginx 作为代理服务器的可以接收 tls1.3 的报文，但是转发的时候缺不能发送 tls1.3。

frp 内网穿透开机自启动

实现内网穿透后，有时可能需要远程开关机，那么 frp 内网穿透开机自启动就很重要了。一、新建一个启动程序需要使用浮居的软件来开启内网穿透，具体内容查看上一篇文章。新建一个frpc.vds 使用记事本打开，并填写以下内容。 Set ws = CreateObject('Wscript.Shell') functio ..

群晖 NAS 使用 Docker 安装配置 frpc 内网穿透教程

frpc 服务端安装本实验为一台 ubuntu22 操作系统云主机脚本适用于安装平台：CentOS、Debian、Ubuntu FRP 项目地址：https://github.com/fatedier/frp FRP 一键脚本地址：https://github.com/MvsCode/frps-onekey FRP ..

基于阿里云 ECS 内网穿透 SSH 访问家庭 Linux 服务器

[图片] 前置条件 1.一台阿里云 ECS，具有公网 ip 地址,有域名解析到该公网 ip 上，如 example.com 2.家庭内网 Linux 服务器，X86 架构,可以是虚拟机，也可以是工控机或服务器 3.下载 frp 内网穿透工具，链接：https://pan.baidu.com/s/1GlIqBB-9PjH ..

客户看之 frp 教程

frp 是什么？ frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 ‍ 为什么使用 frp？通过在具有公网 IP 的节点上部署 frp 服务端，可以轻松地将内网服务穿透到公网，同时提供 ..

有一台服务器可以做哪些很酷的事情

[图片] 有一台服务器可以做哪些很酷的事情今天我也来简单分享一下，这几年来，我用云服务器做了哪些有趣的事情。 1. 个人博客拥有个人服务器，你可以完全掌控自己的网站或博客。与使用第三方托管平台相比，你能自由选择网站的架构、设计和功能，根据自己的喜好和需求进行定制。你还可以方便地添加自定义功能和插件，提升网站的性 ..

快讯：服务器好价，更有白嫖

云服务器其实不管是新用户，还是老用户，其实都有比较大的优惠和折扣的，比如很少有原价续费或者原价购买服务器的情况，比如活动期间针对新用户或者是老用户都是有比较大的优惠的。这里将介绍各大厂商的现价优惠，最后还有免费白嫖机 1. 阿里云热推机型，99 元和 199 元 2 款服务器，性价比非常高，可以闭眼入。不限流量，并且 ..

请教云服务器用作“轻办公远程桌面”，如何保证安全 (用大瓶可乐请教)

小白请教：我之前用得是闲鱼上收的腾讯云轻量，现在快到期了续费太贵，打算换个小厂的。我主要用 RDP 连接服务器干这 2 件事：处理一些文字文档，用坚果云同步顺带每天 24 小时不停挂 bt 下载然后：我只做上面那 2 件事，会有机率被人黑了中勒索病毒、挖矿软件吗（在腾讯云上干了 2 年，自我感觉没被黑过）在 ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于