在Ligolo-ng中通过反向转发隐藏服务端口的实践指南

Ligolo-ng是一款功能强大的隧道工具，在内网连接场景中非常实用。本文将详细介绍如何通过反向转发来隐藏Ligolo-ng的服务端口，提高安全性和可靠性。

背景需求

在实际网络连接中，我们经常需要将Ligolo-ng的服务端口(默认使用9999)暴露给外部网络。直接暴露这个端口可能会引起网络设备的注意，因此需要通过反向转发来隐藏实际服务端口。

解决方案

通过使用Caddy作为反向转发工具，我们可以将Ligolo-ng的服务隐藏在常规的HTTP/HTTPS端口(80/443)后面。具体实现步骤如下：

1. 首先以绑定模式启动Ligolo-ng服务：

./agent --bind 127.0.0.1:9999

2. 配置Caddy反向转发，将外部80端口的流量转发到本地的9999端口。Caddyfile配置示例如下：

:80 {
    reverse_proxy 127.0.0.1:9999
}

注意事项

1. 确保Caddy服务正常运行，并且80端口没有被其他服务占用。

2. 防火墙需要允许80端口的入站连接。

3. 连接服务时，使用反向转发的IP和端口进行连接：

connect_agent --ip <REVERSE_PROXY_IP>:80

技术原理

这种配置利用了反向转发的特性：

• 外部访问者只能看到标准的HTTP端口(80)
• 实际的Ligolo-ng服务运行在内部端口(9999)
• 所有通信都经过反向转发处理，提高了可靠性

常见问题

如果遇到"tls: first record does not look like a TLS handshake"错误，请检查：

1. 反向转发配置是否正确
2. 服务是否正常运行
3. 网络连接是否畅通

通过这种配置方式，可以有效地隐藏Ligolo-ng的实际服务端口，降低被注意的风险，同时保持所有功能的正常使用。