2. 程式人生 > >基於 HTTP/2 的 WEB 內網穿透實現

基於 HTTP/2 的 WEB 內網穿透實現

阿新 發佈:2018-12-23

提醒:本文最後更新於 1094 天前,文中所描述的資訊可能已發生改變,請謹慎使用。

HTTP/2 引入了二進位制分幀層,將 HTTP/1.1 中的請求和響應拆成顆粒度更細的幀(frame),從而實現了優先順序、流量控制和 Server Push 等功能;HTTP/2 在單條 TCP 連線上可以開啟多個流,從而實現了多路複用;HTTP/2 使用靜態字典、動態字典以及哈夫曼編碼,對請求 / 響應頭部進行壓縮。總之,HTTP/2 從協議層面解決了 HTTP/1.1 的諸多問題。

在我之前寫的《搭建 ngrok 服務實現內網穿透》這篇文章裡,我介紹瞭如何通過 ngrok 讓內網 WEB 在其它網路環境中能夠被訪問。本文要實現的服務與 ngrok 類似,我把它稱之為 Pangolin,中文是穿山甲的意思(名字來自於同事的類似專案,在此表示感謝)。Pangolin 客戶端和服務端之間的報文轉發,是用

node-http2 這個 Node.js 模組提供的 HTTP/2 服務來實現的。

Pangolin 的需求來自於本部落格使用者評論(via)。實際上,能實現類似功能的軟體很多,有使用私有協議進行轉發的,有使用 WebSocket 進行轉發的。而我認為 HTTP/2 應該是個不錯的選擇,打算試一下。最終我花了一個小時實現了一個初步能用的版本,除開 node-http2,全部程式碼不超過 200 行。程式碼我放在了 github 上,有興趣的同學可以玩一下。

下面簡單介紹它的原理,我畫了一張草圖:

pangolin-dataflow

最左側是最終用來訪問服務的瀏覽器,它可能位於公網,也可能位於其它內網;最右側是實際提供 WEB 服務的 HTTP Server,它位於內網。顯然,左側瀏覽器沒辦法直接訪問右側 WEB 服務,只能藉助公網節點作為橋樑。中間的 Pangolin 服務端執行在公網節點上;Pangolin 客戶端執行在與 WEB 服務同臺機器或者同一網段內。

瀏覽器發起請求後,請求報文沿著綠色箭頭從左到右流動,每個節點都相當於左側相鄰節點的 HTTP Server。唯一的問題出現在 Pangolin 服務端和客戶端之間:客戶端位於內網,正常情況下 Pangolin 服務端連不上客戶端提供的 HTTP Server。

這個問題我用了一個取巧的辦法解決:由於 Pangolin 服務端有公網 IP,可以開啟 TCP Server,客戶端可以通過 IP 和約定的埠與服務端建立 TCP 連線。那麼只要稍微改造一下 node-http2 的程式碼,使它可以基於指定 socket 建立 HTTP/2 Server、傳送 HTTP/2 Request,就可以打通所有節點了。這個問題解決後,左側的請求可以順利到達右側,響應資料也可以沿著之前的連線逐級返回。

Pangolin 服務端和客戶端內部之間使用 HTTP/2,可以大幅提高效能,降低程式複雜性;對外使用 HTTP/1.1,保證了與已有系統的相容性。

為了實現內網穿透,Pangolin 需要做以下準備工作:

  • Pangolin 服務端開啟 TCP Server;
  • Pangolin 客戶端啟動 TCP Client,與 Pangolin 服務端連線,得到 socket 長連線;
  • Pangolin 客戶端基於這個 socket 連線,開啟 HTTP/2 Server;
  • Pangolin 服務端開啟 HTTP/1.1 Server,等待瀏覽器來訪問;

實際的資料傳輸流程如下:

  • 瀏覽器向 Pangolin 服務端發起請求(HTTP/1.1);
  • Pangolin 服務端基於已有 socket,向 Pangolin 客戶端發起請求(HTTP/2);
  • Pangolin 客戶端向內網 WEB 服務發起請求,得到響應(HTTP/1.1);
  • Pangolin 客戶端基於已有 socket,將響應返回給 Pangolin 服務端(HTTP/2);
  • Pangolin 服務端將響應返回給瀏覽器(HTTP/1.1);

由於 Pangolin 客戶端採用了 HTTP 轉發,而不是 TCP 隧道,所以可以輕鬆實現 ngrok 那樣的管理介面,用來檢視完整的 Request/Response 資訊。目前我還只是簡單地列印了請求日誌。

HTTP/2 協議本身並沒有規定它必須基於 TLS 部署,沒有安全層的 HTTP/2 被稱之為 h2c(HTTP/2 Cleartext)。目前來看,所有瀏覽器都不打算支援 h2c,但如果一個系統的某些環節對安全沒有那麼高的要求,或者已經通過了其它方案確保了安全,部署 h2c 也是一個非常好的選擇。現在很多 HTTP/2 工具和類庫同時支援 h2 和 h2c,node-http2 也是如此。

實際上,我為了測試方便,在實現 pangolin 時也選擇了 h2c。通過 Wireshark 抓包可以看出,HTTP/2 層之下直接就是 TCP 層:

wireshark-h2c

好了,本文就討論這麼多內容,大家有什麼問題或想法歡迎給我留言。

--EOF--

發表於 2015-11-23 14:10:41 ,並被新增「 HTTP2 」標籤 。檢視本文 Markdown 版本 »

提醒:本文最後更新於 1094 天前,文中所描述的資訊可能已發生改變,請謹慎使用。

相關推薦

基於 HTTP/2WEB 穿透實現

提醒:本文最後更新於 1094 天前,文中所描述的資訊可能已發生改變,請謹慎使用。 HTTP/2 引入了二進位制分幀層,將 HTTP/1.1 中的請求和響應拆成顆粒度更細的幀(frame),從而實現了優先順序、流量控制和 Server Push 等功能;HTTP/2 在單條 TCP 連線上可以開啟多

frp 穿透實現 ssh 訪問主機

本文目的 frp 是一個可用於內網穿透的高效能的反向代理應用,支援 tcp, udp, http, https 協議。 本文將基於 frp 來實現內網穿透,從而實現從外網 ssh 登入內網主機,而不對 frp 其他的應用做過多的說明。 frp 的作用

通過穿透實現訪問Tomcat區域網伺服器,

這幾天正在做一個小專案,專案需要搭建本地伺服器並且外網可以訪問到伺服器指定的檔案,這只是專案的開端,想發篇部落格記分享一下。由於我的網路是校園網所以必須要進行內網穿透,這樣外網才能訪問區域網主機。好的,那麼讓我來說一下具體的實現流程哈。主要軟體Tomcat7,Sun-Ngro

使用VNC軟體與花生殼進行穿透實現在嵌入式平臺中進行廣域網下的遠端控制

在嵌入式平臺中如何實現廣域網下的遠端登入控制? 文章目錄 1 專案需要 2 解決方案 3 首先實現區域網下的VNC遠端控制 4 總結 1 專案需要

基於小米球(Ngrok)實現穿透

一、前言 在公司部署了一套大資料叢集。為了方便測試。所以需要弄個內網穿透實現在家裡訪問公司內部網路,但是不想付費。所以整了個免費

基於MetaSploit穿透滲透測試

metasploit自己在無聊搗鼓windows滲透的時候想到以往都是基於內網滲透,想要更加自由地進行滲透就需要內網穿透實現可以任意控制網段主機,同時也將端口轉發作為自己的跳板。集成的腳本是考慮到在滲透的時候需要開啟的工具繁多,所以盡可能能夠一鍵開啟工具,並且半自動化部署,可以優化前期的準備。   本文分成三

【免費穿透】利用NatApp實現穿透

一,註冊賬號 在NatApp上註冊賬號:https://natapp.cn/register 二,實名認證 三,購買隧道 1,購買免費隧道 2,選擇8080埠進行內網穿透,併購買 四,下載客戶端

關於 frp+nginx實現穿透+共用埠

首先  frps  和 frpc  對比 [common] bind_addr = 0.0.0.0 bind_port = 7000 vhost_http_port = 80 vhost_https_port = 8443 dashboard_port = 7500

可以實現穿透的幾款工具

首先說下內網穿透的原理。   NAPT原理   在NAT閘道器上會有一張對映表,表上記錄了內網向公網哪個IP和埠發起了請求,然後如果內網有主機向公網裝置發起了請求,內網主機的請求資料包傳輸到了NAT閘道器上,那麼NAT閘道器會修改該資料包的源IP地址和源埠為NAT

實現Holer 穿透

https://github.com/wisdom-projects/holer 去這裡下載一個holer工具 裡面有工具 解壓開啟 有個.bat  雙擊即可   https://download.csdn.net/download/qq_379963

配置frp實現穿透

一、frp的作用 利用處於內網或防火牆後的機器,對外網環境提供 http 或 https 服務。 對於 http, https 服務支援基於域名的虛擬主機,支援自定義域名繫結,使多個域名可以共用一個80埠。 利用處於內網或防火牆後的機器,對外網環境提供 tcp 和 udp

frp穿透實現寢室連線實驗室伺服器

材料: 一臺擁有公網IP的雲伺服器(騰訊雲主機最低配學生優惠120一年) 你需要遠端連線的伺服器(先安裝ssh) 一臺普通電腦(手機也行) 我使用的是frp,frp分frps和frpc分別執行在雲伺服器和你的伺服器上 點選上面的連結去release下載對應版本的檔案然後

簡簡單單教你實現穿透

                sudo ./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="zzmd.superboycxx.top" -httpAddr=":8081" -httpsAddr=":8082"屁話不講,先來看下效果:1.搭

樹莓派穿透及其實現監控的相關整理

這裡整理一下樹莓派內網穿透及其實現監控的相關文章 https://blog.csdn.net/TuTuTu_/article/details/80097329 上面這篇文章可以實現內網穿透,前提是你要有一個伺服器,可以用於資料中轉,主要還是用服務的外網ip. 配置完frp 之後,就能通過類似

frp實現穿透

一、frp的作用 利用處於內網或防火牆後的機器,對外網環境提供 http 或 https 服務。 對於 http, https 服務支援基於域名的虛擬主機,支援自定義域名繫結,使多個域名可以共用一個80埠。 利用處於內網或防火牆後的機器,對外網環境提供 tcp 和 udp 服務,例如在家裡通

基於frp穿透

場景 客戶端在內網,外網訪問不到其web服務。現在需要使該內網客戶端的web服務能被外網訪問。 下載 frp github releases 服務端 準備 服務端為公網IP,可以被外網訪問,且客戶端可以訪問到該服務端。 配置檔案 配置檔案frps.in

NatApp:實現免費穿透

NatApp使用需知 NatApp免費內網穿透,需要支付寶實名認證(筆者於2018年12月25日操作); NatApp免費內網穿透,會不定時強制更換域名/埠; NatApp免費內網穿透,免費隧道/HK_2型隧道不支援https; NatApp免費

Springboot2(27)整合netty實現反向代理(穿透

原始碼地址 springboot2教程系列 其它netty檔案有部落格 Springboot2(24)整合netty實現http服務(類似SpingMvc的contoller層實現) Springboot2(25)整合netty實現檔案傳輸 Spri

ssh反向代理實現NAT穿透[ssh版teamviewer]

由於實驗室伺服器沒有公網IP,如果在校外網的話只能通過teamviewer遠端桌面連線,然而teamviewer的資料傳輸是基於影象的,反應太慢了,所以一直在尋找ssh版的teamviewer,經過谷歌,發現只需要一臺公網伺服器作為中轉站,就可以實現在任何地方登

一分鐘實現穿透(ngrok伺服器搭建)

簡單來說內網穿透的目的是:讓外網能訪問你本地的應用,例如在外網開啟你本地http://127.0.0.1指向的Web站點。 最近公司的花生殼到期了,要續費,發現價格一直在漲,都是5年以上的老使用者,旗艦版都沒有實現內網完全穿透,打算自己動手替換這個服務,中間走