Как в 3proxy перенаправить группу доменов на другой сервер?

Question

[Виктор Таран]

Сначала задача а потом сам вопрос возможно найдется просто более адекватное решение.
И так задача
Прод сайт
aa.site.ru
bb.site.ru
cc.site.ru
...
Естьдев сервер и доступы до него по техническим доменам
dev.aa.site.ru
dev.bb.site.ru
ну или в хост файле меняем айпи посколкьу там есть реальные записи.
Но и тот и другой способ неудобны там много токостей это микросервисы со всеми вытекающими.
В общем подумал я так, у меня есть прокси сервер
почему бы не заюзать его ( nginx не предлагать пока вопрос без него)
По идее если я в 1 браузере настрою проксю а в другом у меня будет прямой доступ, и если я на проксе заврну IP на дев сервер то все сработает. ( в одном браузере у меня будет дев сайт с родными доменами, в другом с ними же будет прод)
С наскоку я поменялв .host файлен прокси сервера IP но чуда не получилось.
Более чем уверен что 3proxy умеет перенаправлять нужные домены на другой IP.
Кто знает как.
Возможно есть какой-то другой вариант?
Смысл в том что дев сервер это просто копия прода, его переодически заново заливаем, разница только в IP.

Comments

[Alexey Dmitriev]

Другой вариант это не колхозить а юзать реальные dev и stage домены для соответствующих сайтов.в чем причина колхоза с hosts и вашей идеи с прокси?

[Виктор Таран]

Alexey Dmitriev,
как-раз это и есть колзоз, каждому домену нужно
1. создать субдомен.
2. привязать его к серверу.
3. добавить Алиас к соответствующему сайту.
4. переписать все подключения всех микросервисов на дев сервере на новые домены.
5. подключить в мониторинг сайт.
6. сделать изменения в бд, в которых исползуются домены.
7. Скопировать все изменения со всех дев сереров на прод
8. Скопировать все изменения бд, и изменить все домены в них на прод.
9. Поебаться с сертификатами и сессиями SSL поскольку как понимаешь сертификаты тоеж под нож ибо они от разных доменов даже вайлдкарт.
10 и бегать за багами и дальше и дальше.

или
просто придумать способо по которому можно не заморачиваться вообще ни с 1 записью ни с чем.
А учитывая что интернет на дев серевере можно пустить через тот же прокси то и все микросервисы тоже будут подключаться по этому каналу и сами перенключатся на дев ветку, не не говоря уже что все домены в БД и конфигах не будут изменены.
что пораздает тоже уйму мелких вопросов.

Так что если бы это было проще никто бы не парился.
И это я уже не говорю что сам сервис поднимает сервера в датацентрах и там свои заморочки.

[Alexey Dmitriev]

Виктор Таран, я прошу прощения за резкость своих высказываний.
Тем не менее:
1. Вы ничего не писали про количество поддоменов, а указали что их 3.
2. Все вопросы связанные с созданием сайтов и соответствующих им сертификатов и подключения к мониторингу можно сделать и в ручном,, например через nginx proxy manager, и автоматическом режиме любым terraform, ansible, ci\cd.
3. Так как не указано что за микросевисная архитектура - прокомментировать сложно.
4. ваш прокси - вмешательство в трафик между клиентом и серверов.
5. Дальше 5 пункта пошло что-то не понятное - я не очень понял, зачем вы это написали.

[Виктор Таран]

1. писал ... думал понятно что это далее, было бы их 3 вопроса бы не было.
2. terraform, ansible, ci\cd. - это и есть куча колхоза, не забывайте что каждую строчку там нужно поддерживать и документировать а потом после переноса на новый сервер через 4 года вспомнить о них, проще вспомнить про проксю или балансер он 1 и не зависит о т самих сайтов.
3. указывал ;)
4. нет причем тут это, это же будет частная прокся с логином и паролем. и в трафик я буду вмешиваться только на дев ветке. Каким образом клиент будет юзать мою проксю, тем более даже на ней будут указаны и все IP источников и все IP получателей.
Вас же не смущает прокса в nginx+apache
С валидными сертификатами поскольку скопировать 1 вайлдкарт сертификат на дев сервер не трудно, тем более он выдан на несколько лет.

Answer 1

[Владимир Дубровин]

allow * * aa.site.ru,bb.site.ru,cc.site.ru 80,443
parent 1000 tcp dev.aa.site.ru 0
allow *
proxy

вместо aa.site.ru,bb.site.ru,cc.site.ru можно указать ip, тогда будет перенаправляться все что резолвится в этот ip

Comments

[Виктор Таран]

allow * * 1.1.1.1 80,443
parent 1000 tcp 2.2.2.2 0
allow *
proxy

Правильно я понимаю что все что изволило пойти на 1.1.1.1
будет направлено на 2.2.2.2
Ибо смысл в том чтоб все домены с одного сервера перенаправлялись на друго,
$HOST при этом не меняется и все будет ок

[Владимир Дубровин]

Виктор Таран, да

[Виктор Таран]

Владимир Дубровин,
чет не сработало однако ;(
я уже и так и так поковырял и с синтаксисом вроде все ок
но чет не пошло

и так

auth iponly
allow * * *  80,443
parent 1000 tcp 95.216.186.100 0
allow *
proxy

И так

allow *
parent 1000 socks5+ 95.216.186.100 443
socks -p443

и так
nsrecord site.ru.com 95.216.186.100

Конфиг, подключаюсь SOSKS5 9999 порт оп логину паролю.
сама прокся работает все ок.
А вот чебы не писал. не могу перенаправить
Аксесс лог упорно видет обращения на продакшене.

[Владимир Дубровин]

Что именно в конфигурации в исходном варианте?

[Виктор Таран]

Владимир Дубровин,

nserver localhost
#nserver 8.8.8.8
#nserver 8.8.4.4
#nserver 1.1.1.1
#nserver 1.0.0.1
#Leave default cache size for DNS requests:
#
nscache 65536
#Leave default timeout as well:
#
timeouts 1 5 30 60 180 1800 15 60
#If your server has several IP-addresses, you need to provide an external one
#Alternatively, you may ignore this line
#external YOURSERVERIP
#If you ignore this line, proxy will listen all the server's IP-addresses
#internal YOURSERVERIP
#Create users proxyuser1 and proxyuser2 and specify a password
#
users $/etc/3proxy/.proxyauth
#Specify daemon as a start mode
#
daemon
#Logs path and log format. Creation date will be added to a log name
#log /dev/null
#
log /var/log/3proxy/3proxy.log
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
#Compress logs using gzip
#
archiver gz /usr/bin/gzip %F
#store the logs for 30 days
rotate 1

#added authentication caching to make life easier
authcache user 60

# Start new ACLs
#enable strong authorization. To disable authentication, simply change to 'auth none'
auth strong cache
#restrict access for ports via http(s)-proxy and deny access to local interfaces
deny * * 127.0.0.0/8,192.168.1.1
allow * * * 80-88,8080-8088 HTTP
allow * * * 443,8443 HTTPS
# allow SOCKS connection to all ports
# allow * * * 1-65535 CONNECT
#allow * * * 1-65535 HTTPS

#HTTP Proxy
# Use default ACLs, don't need to flush
proxy -n -p9999 -a

#SOCKS
flush
auth strong cache
socks -p8088

#Enable admin web-ui on specified port, only allow connection from loopback interface (127.0/8) & intranet's admin user (10/8)
flush
auth iponly strong cache
allow * * 127.0.0.0/8
allow admin * 10.0.0.0/8
admin -p2525

[Владимир Дубровин]

Правила надо добавить в конфигурацию того сервиса, который используется, если используется socks - то в конфигурацию socks. Сейчас перед socks стоит flush который убирает все предыдущие правила.

[Владимир Дубровин]

т.е.

flush
auth strong cache
allow * * 1.1.1.1 80,443
parent 1000 tcp 2.2.2.2 0
allow *
socks -p8088