[Suggestion] TCP proxy (non-http proxy) / 支持tcp和udp转发 / 支持四层代理转发

[dhfsqxz]

公司有固定ip，所有连接从一台专用的机器，通过waf转发 但是现在不支持tcp转发，导致部分服务需要登录机器再单独起个nginx 现希望直接在后台配置转发，这样就免的登录服务器了

———————————Remark for EN———————————— All connections of the company are provided to the internet through the WAF machine. cus waf only manages http proxy, we need to start an separately nginx to proxy some non-http services. Hope to add TCP proxy on Web UI to proxy some non-http services, such as SSH, NTLM.

[zclaiqcc]

感觉这像是四层代理的需求，WAF 感觉更偏七层，看看其他师傅有没有类似的需求

[dhfsqxz]

确实是四层代理 不需要waf，只是能支持统一转发 免的需要两个地方配置

[pusidun]

tengin不就是nginx吗 resources/nginx/stream-conf.d/*底下配四层转发？

[warmsheep]

支持加~而且可以顺带做个黑名单IP拦截

[zclaiqcc]

支持加~而且可以顺带做个黑名单IP拦截

@warmsheep 黑名单 IP 拦截不是已经支持了么？

[qq8554650]

我也需要在界面上配置4层。有界面方便呀 另外建议把负载规则加进去（默认轮询，但我需要hash）

[nivalxer]

+1 部分协议，例如NTLM（例如Exchange Server、Azure DevOps Server等微软的产品），nginx开源版是不支持的，只有走四层。

[dossec]

建议 增加四层TCP/UDP端口转发模块

[f0re1gnKey]

感觉没必要，waf应该专心做waf的事情，弄个tcp udp转发你当什么了

[dhfsqxz]

感觉没必要，waf应该专心做waf的事情，弄个tcp udp转发你当什么了

因为waf放在最前面了 如果不支持转发 那么还得自己做转发 配置比较麻烦

[itdsee]

还是有必要的 部分web服务不是纯web； 例如gitlab之类的服务还带有ssh通讯； 只转发web是不够的

[superen7527]

是的，只转发web确实不够。如果想保持现状，也许tcp转发是一个可选项放在设置里面供有需要的用户打开？

[superen7527]

感觉没必要，waf应该专心做waf的事情，弄个tcp udp转发你当什么了

因为waf放在最前面了 如果不支持转发 那么还得自己做转发 配置比较麻烦

说得对 因为放在最前面了，所以支持全部协议转发是有必要的。如果放在后面，自己转发，那流量分析还有何用？

[nivalxer]

其实tcp转发这块主要想解决NTLM协议的问题，然后能简单针对IP组过滤阻断就能满足需求。按照定义上来说的确不适合waf来做，适合四层防火墙上来做，但是如果能支持的话可能会更好。

[dhfsqxz]

其实tcp转发这块主要想解决NTLM协议的问题，然后能简单针对IP组过滤阻断就能满足需求。按照定义上来说的确不适合waf来做，适合四层防火墙上来做，但是如果能支持的话可能会更好。

主要考虑一下使用场景，搞防火墙的用户直接建议上企业版就完事了，社区版本身就是穷人用的

在我们的使用场景中就是 公网->waf(统一转发到后面的nginx)->nginx(后面一堆人在改配置)->最终服务

还有一些tcp的服务无法通过waf转发，例如组网，串流，ssh 所以就 公网->tengine(也在waf那台机器上)->最终服务

[xbingW]

问题建议反馈请移步 https://rivers.chaitin.cn/discussion