可通过宝塔面板反向代理将非标准端口(如8080、3000)映射至80/443端口,具体包括:一、网站设置中添加反向代理;二、手动编辑Nginx配置添加proxy_pass及Header;三、按子目录分流不同端口服务;四、启用SSL并强制HTTPS确保传输安全。
如果您在宝塔面板中部署了Web服务,但希望对外隐藏如8080、8000、3000等非标准敏感端口,可通过反向代理将请求统一映射到80或443端口。以下是实现该目标的具体操作步骤:
一、添加网站并配置基础反向代理规则
此方法利用宝塔内置的反向代理功能,将域名请求转发至本地指定端口,从而屏蔽后端真实端口暴露。代理过程对用户完全透明,访问地址始终显示为标准HTTP/HTTPS端口。
1、登录宝塔面板,在左侧菜单点击「网站」,再点击右上角「添加站点」。
2、填写域名(如example.com),根目录可默认,PHP版本选择「纯静态」,其余保持默认后提交。
3、在网站列表中找到刚创建的站点,点击右侧「设置」按钮。
4、在弹出窗口中切换至「反向代理」选项卡,点击「添加反向代理」。
5、代理名称填写标识性名称(如nodejs-api),目标URL填写http://127.0.0.1:8080(请将8080替换为您实际服务监听的端口)。
6、勾选「启用反向代理」,点击「提交」保存配置。
二、修改Nginx配置文件手动添加proxy_pass指令
当内置反向代理不满足特殊需求(如需自定义Header、超时时间或路径重写)时,可直接编辑站点的Nginx配置文件,精确控制代理行为。
1、在网站设置页面切换至「配置文件」选项卡。
2、在server块内、location /区块中,删除原有root相关配置,插入以下内容:
3、输入:proxy_pass http://127.0.0.1:3000;
4、在其上方添加:proxy_set_header Host $host;
5、再添加一行:proxy_set_header X-Real-IP $remote_addr;
6、确认无语法错误后,点击右上角「保存」,再点击「重载配置」使生效。
三、通过子目录方式代理不同端口服务
若需在同一域名下区分多个后端服务(如管理后台与API),可使用路径前缀进行分流,避免端口冲突且增强隐蔽性。
1、进入网站「反向代理」设置页,点击「添加反向代理」。
2、代理名称填admin-panel,目标URL填http://127.0.0.1:8001,代理目录填/admin/(注意结尾斜杠)。
3、再次点击「添加反向代理」,代理名称填api-service,目标URL填http://127.0.0.1:9000,代理目录填/api/。
4、确保两个代理目录不重叠,提交后访问example.com/admin/即路由至8001端口,example.com/api/路由至9000端口。
5、后端服务需配置支持子路径上下文(如Express中使用app.use('/api', router)),否则可能返回404。
四、启用SSL并强制HTTPS反向代理
仅用HTTP代理仍存在明文传输风险,结合SSL证书可实现端到端加密,同时进一步隐藏后端端口特征,防止中间人探测真实服务端口。
1、在网站设置中切换至「SSL」选项卡,申请并部署有效证书(推荐Let's Encrypt免费证书)。
2、启用「强制HTTPS」开关,确保所有HTTP请求自动跳转至HTTPS。
3、返回「反向代理」设置,检查目标URL是否已改为https://127.0.0.1:8443(若后端服务本身支持HTTPS);否则仍使用http://127.0.0.1:xxx,因宝塔与后端同机通信无需加密。
4、在「配置文件」中确认server块包含listen 443 ssl指令,并在proxy_pass所在location中添加:proxy_ssl_verify off;(仅当后端使用自签名证书时需添加)。
