结合Nginx反向代理搭建域名被墙网站的镜像网站

前几天网站域名被GFW拉入黑名单，直接DNS污染返回一系列乱七八糟的IP。我也立即开通的镜像网站，国内用户可以通过镜像网站访问，与原站同步。那么，这个镜像网站到底怎么做的呢？本文就来介绍下如何结合Nginx的反向代理功能搭建一个域名被墙网站的镜像网站。

 

什么是反向代理

稍微解释一下什么是反向代理，更详细的自己去问Google。

既然有反向代理，那么肯定就有正向代理。正向代理其实就是我们常说的代理，举个例子，SS就是正向代理，国内（客户端）访问谷歌（服务器端），无法打开（GFW V587），于是我们把请求交给国外的代理服务器，而这个代理服务器可以访问谷歌（GFW再V587也管不了国外的事啊），于是这个代理服务器在接收到你的请求后，请求了谷歌，之后把谷歌的响应结果再返回给你，这就是正向代理。而反向代理是什么呢？你（客户端）在打10086找移动客服的时候（移动真贵，建议不用），不用考虑要找哪个客服（服务器端），你只是要找到客服就行，于是打10086再按0的操作就是一个反向代理，把你的请求代理到每一个客服那里去。

总结一句话，正向代理隐藏真实客户端，反向代理隐藏真实服务端。

 

镜像网站配置

首先是镜像网站域名：例如我的flyzy2005.win，这个就是镜像网站的域名地址。（NameSilo域名购买，com域名首年$5.99）

接着是镜像网站VPS：必须要明确的是，这个VPS必须是国外的VPS，因为国内的VPS无法访问你被墙的域名。（Vultr最新优惠信息汇总 or 搬瓦工最新优惠码汇总）

最后就是LNMP环境，虽然你的镜像网站不需要任何数据，但是基本的网络环境还是需要的。（手动在Ubuntu上配置Nginx+MySQL+PHP7 or LNMP环境一键安装包）

 

配置镜像网站

首先说一下我的原站的配置。

服务器在Linode的弗里蒙特，最低配置5刀/月的（因为有信用卡新注册Linode就送20美元）。解析放在了Cloudflare，开通了免费版的全球CDN，毕竟Cloudflare的CDN除了国内，其他速度都很快。

配置HTTP镜像网站

如果你的原站没有开通https，只是http的，举个例子，用http://www.abc.com镜像http://www.baidu.com，那么只需要修改Nginx的配置文件如下：

server
	{
		listen 80;
		server_name www.abc.com;
		
		if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
		return  403;
		}
  
		location / {
		sub_filter www.baidu.com www.abc.com;
		sub_filter_once off;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Referer http://www.baidu.com;
		proxy_set_header Host www.baidu.com;
		proxy_pass http://www.baidu.com;
		proxy_set_header Accept-Encoding "";
		}
}

第二段代码的作用的防止搜索引擎spider收录你的站（抄的），这样你原站的收录就不会因为有镜像站而减少。

配置HTTPS镜像网站

如果你的站是https的，那么你的http代理就会被重定向到https（例如我的站），那么就要在Nginx配置文件里写好SSL证书，直接镜像HTTPS。我的镜像站的SSL证书用的是letsencrypt免费HTTPS证书，以https://www.flyzy2005.win镜像https://www.flyzy2005.com为例，Nginx配置如下：

server
	{
		listen 80;
		listen 443 ssl;
		ssl on;
    ssl_certificate /etc/letsencrypt/live/flyzy2005.win/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/flyzy2005.win/privkey.pem; # managed by Certbot
		ssl_session_cache shared:SSL:10m;
		ssl_session_timeout  10m;
                proxy_ssl_server_name on;
                proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
		server_name www.flyzy2005.win;
		add_header Strict-Transport-Security "max-age=31536000";
		
		if ( $scheme = http ){
			return 301 https://$server_name$request_uri;
		}
		
		if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) {
		return  403;
		}
  
		location / {
		sub_filter www.flyzy2005.com www.flyzy2005.win;
		sub_filter_once off;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Referer https://www.flyzy2005.com;
		proxy_set_header Host www.flyzy2005.com;
		proxy_pass https://www.flyzy2005.com;
		proxy_set_header Accept-Encoding "";
		}

}

server {
        listen 443 ssl; 
	server_name flyzy2005.win;
        return 301 https://www.flyzy2005.win$request_uri;

    ssl_certificate /etc/letsencrypt/live/flyzy2005.win/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/flyzy2005.win/privkey.pem; # managed by Certbot
}



server {
    if ($host = flyzy2005.win) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


        listen 80;
        listen [::]:80; 
	server_name flyzy2005.win;
        return 404; # managed by Certbot
}

我是flyzy2005.win转到www.flyzy2005.win，非http转到https。