1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
|
## 端口转发与反向代理的核心区别
| 维度 | 端口转发 | 反向代理 |
|------|----------|----------|
| **工作层级** | 传输层(L4,TCP/UDP) | 应用层(L7,HTTP/HTTPS等) |
| **转发单位** | 数据包/端口 | HTTP请求/应用协议 |
| **协议感知** | 无感知,纯二进制流量 | 可解析HTTP头、Cookie等 |
| **典型工具** | SSH、iptables、rinetd | Nginx、Apache、HAProxy |
## 1. 端口转发详解
### 工作原理
```
客户端 → 本地端口 → [SSH隧道] → 远程端口 → 目标服务
```
### 代码示例对比
,**SSH本地端口转发**(访问远程内网服务):
```bash
# 将本地的8080转发到远程的80端口
ssh -L 8080:internal-server:80 user@gateway-server
# 访问本地8080,相当于访问internal-server的80
curl http://localhost:8080
```
,**SSH远程端口转发**(暴露本地服务到公网):
```bash
# 将远程服务器的8080转发到本地的3000
ssh -R 8080:localhost:3000 user@public-server
# 外网用户访问 public-server:8080,实际访问你的本地3000
```
### 特点
- **透明传输**:不关心协议内容,SSH、HTTP、数据库协议都可以
- **加密通道**:SSH端口转发自带加密
- **端口级别映射**:1:1的端口映射关系
## 2. 反向代理详解
### 工作原理
```
客户端 → 反向代理(域名解析) → [负载均衡/路由规则] → 后端服务器池
```
### Nginx反向代理配置示例
```nginx
# 简单的反向代理配置
server {
listen 80;
server_name api.example.com;
location / {
# 代理到后端服务器集群
proxy_pass http://backend_servers;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
# 基于路径的路由
if ($uri ~* "^/api/") {
proxy_pass http://api_servers;
}
}
}
# 负载均衡配置
upstream backend_servers {
server 192.168.1.10:8080 weight=3; # 权重3
server 192.168.1.11:8080 weight=2; # 权重2
server 192.168.1.12:8080 backup; # 备份服务器
}
```
### 特点
- **内容感知**:可以基于URL、Header、Cookie做路由
- **负载均衡**:分发请求到多台后端服务器
- **缓存功能**:可以缓存静态内容
- **SSL终止**:统一处理HTTPS加密
## 3. 关键区别场景
### 场景一:访问公司内网数据库
```bash
# ✅ 端口转发更合适
ssh -L 3306:internal-db:3306 jump-server
# 本地直接连接数据库
mysql -h 127.0.0.1 -P 3306
```
### 场景二:微服务API网关
```nginx
# ✅ 反向代理更合适
server {
listen 80;
location /user/ {
proxy_pass http://user-service;
}
location /order/ {
proxy_pass http://order-service;
}
location /product/ {
proxy_pass http://product-service;
}
}
```
### 场景三:临时分享本地开发环境
```bash
# ✅ 端口转发(远程转发)
ssh -R 8080:localhost:3000 user@public-server
# 同事访问 public-server:8080 看到你的本地开发网站
```
### 场景四:网站负载均衡
```nginx
# ✅ 反向代理
upstream web_servers {
least_conn; # 最少连接算法
server 10.0.0.1:80;
server 10.0.0.2:80;
server 10.0.0.3:80;
}
```
## 4. 混合使用示例
有时候两者结合使用:
```bash
# 1. 先用端口转发穿透防火墙
ssh -L 8080:internal-nginx:80 bastion-host
# 2. 内部nginx再做反向代理
```
```nginx
# internal-nginx的配置
upstream backend {
server app-server-1:3000;
server app-server-2:3000;
}
server {
listen 80;
location / {
proxy_pass http://backend;
}
}
```
## 总结
- **端口转发**:简单粗暴,适用于临时通道、加密传输、访问内网服务
- **反向代理**:智能灵活,适用于生产环境、微服务架构、负载均衡
选择哪个取决于你的需求:
- 只想安全地访问一个端口?→ **端口转发**
- 需要智能路由多个服务?→ **反向代理**
|