在go-gost中实现隧道服务的端口复用方案

go-gost作为一款功能强大的网络工具，其隧道(tunnel)功能在实际应用中非常实用。本文将详细介绍如何通过go-gost实现多个隧道服务共享同一个入口端口(如80端口)的技术方案。

问题背景

在实际部署中，我们经常需要让多个隧道服务监听同一个公共端口(如80端口)，同时又能将不同域名的流量路由到不同的隧道服务。直接使用多个隧道服务监听同一端口会导致端口冲突，因为每个隧道服务都会尝试绑定到80端口。

解决方案

go-gost提供了灵活的配置方式来实现这一需求，核心思路是：

1. 使用一个公共的TCP服务监听80端口
2. 通过SNI(Server Name Indication)或HTTP Host头识别不同域名
3. 将流量转发到不同的隧道服务入口端口
4. 每个隧道服务使用独立的内部端口

具体配置实现

以下是实现这一方案的YAML配置示例：

services:
  - name: service-0
    addr: :8400
    handler:
      type: tunnel
      metadata:
        entrypoint: ":18400"
        ingress: ingress-0
        sniffing: true
    listener:
      type: tcp

  - name: service-1
    addr: :8500
    handler:
      type: tunnel
      metadata:
        entrypoint: ":18500"
        ingress: ingress-0
        sniffing: true
    listener:
      type: tcp

  - name: public
    addr: :80
    handler:
      type: tcp
      metadata:
        sniffing: true
    listener:
      type: tcp
    forwarder:
      nodes:
        - name: service-0
          addr: 127.0.0.1:18400
          host: ".example.com"
        - name: service-1
          addr: 127.0.0.1:18500
          host: "example.org"

ingresses:
  - name: ingress-0
    rules:
      - hostname: ".example.com"
        endpoint: 4d21094e-b74c-4916-86c1-d9fa36ea677b
      - hostname: "example.org"
        endpoint: ac74d9dd-3125-442a-a7c1-f9e49e05faca

配置解析

1. 公共入口服务(public):

   • 监听80端口
   • 启用sniffing功能识别域名
   • 根据域名将请求转发到对应的隧道服务入口端口

2. 隧道服务(service-0/service-1):

   • 分别监听8400和8500端口
   • 使用不同的内部入口端口(18400和18500)
   • 共享同一个ingress配置

3. 路由规则(ingress):

   • 定义不同域名对应的隧道端点(endpoint)
   • 支持通配符域名(如.example.com)和精确域名(如example.org)

技术优势

1. 端口复用: 多个隧道服务可共享同一个公共端口
2. 灵活路由: 基于域名实现精确流量分发
3. 资源隔离: 每个隧道服务使用独立内部端口，互不干扰
4. 扩展性强: 可轻松添加更多隧道服务

实际应用场景

这种配置特别适合以下场景：

• 需要为多个域名提供隧道服务
• 服务器只能开放有限端口(如仅80/443)
• 需要集中管理多个隧道服务
• 希望对不同域名的流量进行统一监控

通过这种配置方式，go-gost用户可以高效地管理多个隧道服务，同时保持配置的简洁性和可维护性。