홈으로 돌아가기

443 포트에서 nginx SNI 라우팅과 함께 MTProto

이 기사는 nginx stream과 SNI 라우팅을 사용하여 단일 443 포트에 MTProto Telegram 프록시를 배포하는 방법을 설명합니다. 에이전트가 제공된 전체 구성 및 제어 패널 아키텍처. 이 스키마는 DPI 차단에 대한 회복력을 보장합니다.

하나의 포트에서 SNI 라우팅 MTProto 프록시
Advertisement 728x90

SNI 라우팅을 활용한 단일 443 포트에서의 MTProxy 구성

텔레그램 MTProxy 개발자들은 종종 IP와 포트가 빠르게 차단되는 문제에 직면합니다. 해결책은 nginx 스트림과 SNI 기반 라우팅을 사용하여 단일 443 포트에 여러 프록시를 구성하는 것입니다. 이는 트래픽을 인기 있는 도메인으로 위장시키고 IP를 변경하지 않고 네트워크를 확장할 수 있게 합니다.

이 접근 방식은 제어판과 서버 에이전트로 나뉩니다. 제어판은 구성을 생성하고, 에이전트는 Docker 컨테이너를 배포합니다. 각 프록시는 도메인 풀(예: wikipedia.org, netflix.com)에서 고유한 SNI를 받습니다. Nginx는 SNI를 분석하고 TLS 연결을 해당 컨테이너로 리디렉션합니다.

이 방식의 장점:

Google AdInline article slot
  • 모든 프록시가 표준 HTTPS 포트에서 운영됨
  • 합법적인 트래픽으로 위장 가능
  • 포트 변경 없이 여러 컨테이너로 확장 가능
  • 웹 인터페이스를 통한 자동화된 관리

스트림 라우팅을 위한 nginx 구성

핵심 요소는 nginx 스트림 블록의 ssl_preread 모듈입니다. 이는 TLS를 복호화하지 않고 SNI를 추출하여 클라이언트에게 지연 시간 없이 완전한 투명성을 보장합니다.

user nginx;
worker_processes auto;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

events {
    worker_connections 4096;
}

stream {
    resolver 127.0.0.11 valid=10s;

    log_format proxy '$remote_addr [$time_local] $ssl_preread_server_name $status';
    access_log /dev/stdout proxy;

    map $ssl_preread_server_name $backend {
        en.wikipedia.org mtproto-proxy-3d9d46ba:443;
        netflix.com mtproto-proxy-475ecb29:443;
        assets.msn.com mtproto-proxy-3f8875a4:443;
        default mtproto-proxy-3d9d46ba:443;
    }

    server {
        listen 443;
        proxy_pass $backend;
        ssl_preread on;
        proxy_connect_timeout 10s;
        proxy_timeout 300s;
    }

}

중요 매개변수:

  • resolver 127.0.0.11 — Docker 네트워크 내 DNS
  • worker_connections 4096 — 동시 접속을 위한 높은 제한
  • 모바일 연결에 최적화된 타임아웃
  • 차단 디버깅을 위한 SNI 로깅

제어판 및 에이전트 아키텍처

제어판(Node.js/Go)은 프록시 서버와 독립적으로 운영됩니다. 서버의 에이전트는 API 명령을 수신하고 telemt/telemt 이미지를 기반으로 Docker 컨테이너를 관리합니다.

Google AdInline article slot

프록시 생성 과정:

  • 제어판이 비밀 키를 생성하고 풀에서 SNI를 선택
  • 구성을 에이전트로 전송
  • 에이전트가 고유 볼륨으로 docker run 실행
  • Nginx가 새로운 맵 블록으로 재로드

도메인 풀은 수동으로 업데이트되며, 차단된 CDN은 제외됩니다. 각 도메인은 하나의 프록시에만 엄격히 사용됩니다.

확장성 및 차단 방지

테스트 결과, 비표준 포트(4443+)의 프록시는 15-20명의 사용자로 3-4일 내에 차단되었습니다. 443 포트와 SNI 라우팅 방식을 사용하면 50개 이상의 기기로 7일 이상의 수명을 보장합니다.

Google AdInline article slot

운영 권장 사항:

  • DPI가 없는 관할권(예: 독일, 네덜란드)의 VPS 사용
  • SNI를 7-10일마다 교체
  • 차단 패턴을 모니터링하기 위해 nginx 로그 확인
  • 프록시당 사용자 제한(최대 20-30명)

내결함성을 위해 단일 제어판 도메인으로 여러 VPS에 에이전트를 배포하세요.

핵심 포인트

  • 단일 포트 443: MTProxy를 HTTPS 트래픽으로 위장
  • SNI 라우팅: 하나의 IP에서 10개 이상의 프록시를 충돌 없이 운영 가능
  • 자동화: 제어판 + 에이전트로 수동 작업 최소화
  • 내구성: 50개 이상의 연결로 7일 이상의 수명
  • 확장성: 새 노드 추가가 쉬움

— Editorial Team

Advertisement 728x90

다음 읽기