绕过Nginx Host限制

SNI

SNI（Server Name Indication）是 TLS 的扩展，这允许在握手过程开始时通过客户端告诉它正在连接的服务器的主机名称。

作用：用来解决一个服务器拥有多个域名的情况。

在客户端和服务端建立 HTTPS 的过程中要先进行 TLS 握手，握手后会将 HTTP 报文使用协商好的密钥加密传输。

第三种方法：

我们在发送https数据包的时候，SNI中指定的域名是example2.com，而无需和HTTP报文中的Host头保持一致，Nginx会选择SNI中的域名作为Server Name。

上课时，某个同学的课前演讲中提到，SNI的访问方式是域名加端口访问，而只有域名SNI,会默认访问第一个配置界面。
下面我们分别弄了三个域名不同，端口相同的主机配置，和一个不同域名不同端口的主机配置。



由于第一个配置是nginx 欢迎界面，所以在不同域名相同端口的情况下，SNI会将nginx 欢迎界面 作为访问界面，前提是request 中的host 改错

下面是 自发证书的ssl 配置，www.sslh.com 端口为443

SNI基于端口加域名正常访问内容

总结

这次测试，说明了SNI 是基于域名加端口来区分的，要成功正常访问，就得是 不同域名不同端口。
这次测试中 发现一个关于https的问题—curl https://www.sslh.com -k 访问被拒绝。刚开始 我以为是防火墙的原因，关闭防火墙，发现还是访问不了，然后 iptables -nvxL --line-number 发现没有443的iptables 规则，然后就添加了一条443规则，发现还是服务拒绝，然后想到是不是 selinux 的问题 ，然后配置临时selinux setenforce 0 默认设置为permissive，发现还是不行。
解决方法:nginx 新增端口 不能 ./nginx -s reload ,需要./nginx -s quit 然后在启动nginx 服务。