Ssylka

HAProxy: объединение сервисов, GeoIP и DOH на одном порту

Используя HAProxy, можно маршрутизировать трафик на 443 порту, разделяя его по SNI на различные backend сервисы. Для этого требуется несколько доменных имен, направленных на IP сервера. HAProxy будет работать в TCP режиме, распределяя трафик на SSH, OpenConnect VPN, VLESS, а также HTTP сервисы, включая статистику, панель управления XUI, WebSocket и DoH.
HAProxy: объединение сервисов, GeoIP и DOH на одном порту
Изображение носит иллюстративный характер

Первоначальная настройка включает обновление пакетов, установку необходимых утилит, настройку файрвола (UFW) для открытия портов SSH, HTTP и HTTPS, и отключение IPv6. Локальный DNS резолвер (Unbound) опционален, но может быть сконфигурирован для работы с localhost. Для получения сертификатов используется , создаются DH параметры для шифрования и настраивается базовая конфигурация HAProxy.

Для блокировки доступа из определенных стран и континентов используются GeoIP списки. Скрипт, загружающий списки GeoIP, позволяет блокировать трафик на основе континентов и стран. Правила GeoIP применяются как на TCP, так и на HTTP уровнях HAProxy. Для защиты от перегрузки можно настроить ограничение количества соединений с одного IP, а также частоту запросов с одного IP.

Развернутые сервисы включают в себя OpenConnect VPN (ocserv), панель управления XUI, DNS over HTTPS (AdGuardHome) и WebSocket (Wstunnel). Каждый сервис настраивается с использованием собственных сертификатов и конфигов. HAProxy маршрутизирует запросы к соответствующему backend, используя SNI. Дополнительно можно настроить маскировку сервисов и добавить сайт-заглушку.


Новое на сайте