什么是反代站？

反代站，顾名思义就是反向代理站点的意思。在文章开始之前先来说说正向代理和反向代理的区别。

正向代理和反向代理

正向代理和反向代理

正向代理通过【guò】上面【miàn】的图理【lǐ】解其【qí】实就【jiù】是用户想从【cóng】服务器拿【ná】资源数据，但是只能通【tōng】过 proxy 服务器才能拿到【dào】，所以用户【hù】 A 只能去访问 proxy 服务器然【rán】后通过 proxy 服务器去后端服务器拿数据，这【zhè】种【zhǒng】情【qíng】况用户是【shì】明确知道你要访【fǎng】问的【de】是谁【shuí】，在我们生活中最【zuì】典型的【de】案例就是 “ 科学上【shàng】网 “ 了【le】，也是通【tōng】过访问代理服务器最后【hòu】访【fǎng】问【wèn】外网的。

反向代理其【qí】实【shí】就是客【kè】户端去【qù】访问【wèn】服务器时，他并不知道会访问哪一台，感觉就是客户端访问【wèn】了【le】 proxy 一样，而实则就是当 proxy 服务【wù】器拿到用户请求的时候【hòu】会转发到【dào】代理服务器【qì】中的随机（也可由相关【guān】负载均衡算法决定）某一台。而在【zài】用户【hù】看来，他【tā】只是访【fǎng】问了 proxy 服务器而【ér】已【yǐ】，典型【xíng】的例【lì】子就是负载均衡了。

正常情况下，正向代【dài】理用于 VPN “科【kē】学上网 ”，反向代理用【yòng】于负【fù】载均【jun1】衡。但从宏观【guān】来说【shuō】他们都【dōu】是代理技术，代理【lǐ】技术均可以在一定程度上隐【yǐn】藏自己【jǐ】的真实 IP 。

如何搭建？

0 、搭建前准备工作：

• 您需要一台位于中国大陆地区【qū】以外的 CentOS Linux 6 / 7 服务【wù】器，如香【xiāng】港、日本【běn】、新加坡和【hé】美国等【děng】地（各云主机厂商均【jun1】可租赁，但【dàn】小心【xīn】实【shí】名制【zhì】监管，推荐使用搬瓦工）；
• 既然是要【yào】做网站，您还需要注册一个域名（域【yù】名【míng】可去【qù】阿【ā】里云注册【cè】；但阿里云是实【shí】名制的，小心监管，不过目前查一个人还是【shì】很容易【yì】的）；
• 为【wéi】了增强安【ān】全性，您【nín】还需要【yào】申请【qǐng】一张 https 证书（ https 证书可【kě】去阿里云或者 FreeSSL 申请。

1 、安装 Nginx ：

本篇文章【zhāng】介绍【shào】的安装步【bù】骤仅用于【yú】快【kuài】速（或最小化【huà】）搭建 Google 反代站

在【zài】安【ān】装 Nginx 前请【qǐng】先升级【jí】一下 CentOS ，并通过 yum 源来安装【zhuāng】一些依赖包：

yum -y update

yum -y install pcre pcre-devel zlib zlib-devel gcc openssl openssl-devel

前往 Nginx 官【guān】网获取最新【xīn】版本的 Nginx 的下【xià】载链【liàn】接（ 当前【qián】最新版本为 1.15.12 ），使用 wget 命令下载到 CentOS 并【bìng】编译安装：

cd /tmp

wget http://nginx.org/download/nginx-1.15.12.tar.gz

tar -zxvf nginx-1.15.12.tar.gz

cd nginx-1.15.12/

./configure --with-http_ssl_module

make && make install

接【jiē】着修改 Nginx 配【pèi】置文件【jiàn】，先删除原先【xiān】的配置文件 nginx.conf ，然后再创建一个【gè】新的 nginx.conf ：

rm -f /usr/local/nginx/conf/nginx.conf

vi /usr/local/nginx/conf/nginx.conf

接【jiē】着键入小写【xiě】字母 i ，进入编辑模式，将以【yǐ】下配置复【fù】制粘贴进去（请【qǐng】根据实【shí】际需要【yào】进行相应地修改【gǎi】）：

user nobody nobody;
worker_processes auto;
error_log logs/error.log crit;

pid logs/nginx.pid;

#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 51200;

events
{
    use epoll;
    worker_connections 51200;
}

http
{
    include mime.types;
    default_type application/octet-stream;
    server_tokens off;
    server_names_hash_bucket_size 128;
    client_header_buffer_size 32k;
    large_client_header_buffers 4 32k;
    client_max_body_size 8m;

    sendfile on;
    tcp_nopush on;
    keepalive_timeout 30;
    tcp_nodelay on;

    gzip on;
    gzip_min_length 1k;
    gzip_buffers 4 16k;
    gzip_http_version 1.0;
    gzip_comp_level 2;
    gzip_types text/plain application/x-javascript text/css application/xml;
    gzip_vary on;
    #limit_zone crawler $binary_remote_addr 10m;
    log_format default '$remote_addr - $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" -- "$http_cookie" $http_x_forwarded_for "$proxy_add_x_forwarded_for" "$request_time"';

    server {
        listen       80;
        server_name  你的域名;

        location / {
                rewrite "^/(.*)" https://$host/$1 redirect;
        }
    }

    server {
        listen 443 ssl;
        ssl_certificate   cert/证书.pem;
        ssl_certificate_key  cert/密钥.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        server_name  你的域名;
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        access_log logs/access.log default;

        location / {
                proxy_pass https://www.google.com;
        }

    }

}

按一次【cì】 ESC 键退出编辑【jí】模【mó】式，然后【hòu】键入 “ :wq ” 保存并退【tuì】出。

其中【zhōng】 cert/证【zhèng】书.pem 和 cert/密钥【yào】.key 为域名的 https 证书【shū】文件，存放路径位于 /usr/local/nginx/conf/cert/ 。

现在使用如下命令启动 Nginx 即可：

/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

2 、启用 Nginx 认证（可选）：

如果您不希望任何人都【dōu】可以【yǐ】访问您的网站，那【nà】么需要启【qǐ】用 Nginx 认证，仅登【dēng】录成【chéng】功后才可访【fǎng】问该网站（如下图所示）。

启用 Nginx 认证

通过 yum 源来安装依赖包 httpd ：

yum -y install httpd

生成密码文件：

mkdir /usr/local/nginx/conf/auth

htpasswd -b -c -m /usr/local/nginx/conf/auth/htpasswd mdpblog 123456

其【qí】中 mdpblog 为账号【hào】，123456 为密码，请根据【jù】实际需要进行相应地修【xiū】改。

修改【gǎi】配置文【wén】件 nginx.conf ，在【zài】相关位置添加如【rú】下两行即可：

    server {
        listen 443 ssl;
        ssl_certificate   cert/证书.pem;
        ssl_certificate_key  cert/密钥.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        server_name  你的域名;
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        access_log logs/access.log default;
        auth_basic "login";
        auth_basic_user_file /usr/local/nginx/conf/auth/htpasswd;

        location / {
                proxy_pass https://www.google.com;
        }

    }

现在使用如下命令让 Nginx 重新加载配置文件即可：

/usr/local/nginx/sbin/nginx -s reload

至此，反代站部署完成。

反代站有何优缺点？

优点：

1. 无需安装客户端即可直接使用。

缺点：

1. 不能反代所有【yǒu】站点（您可以打开【kāi】反代网【wǎng】站【zhàn】 ，然后搜索 facebook ，在搜索结果【guǒ】中打开 facebook 的首【shǒu】页，您会【huì】发现 facebook 的【de】首页是打不开的，因为 www.facebook.com 这个网站没有【yǒu】做反【fǎn】向【xiàng】代理）；
2. 隐蔽【bì】性不强，一个自定义【yì】域名（如：google.madapang.com）完全对应一个【gè】被代理的站点（如：www.google.com ）。