FQ原理

笔者在nginx反向代理篇讲了正向代理和反向代理的区别，今天着重讲其中的FQ是实现原理。

一、普遍的两种方式

1、vpn　

　　vpn它将客户端的IP数据报经过加密和二次封装后转发出去，客户端通过vpn上网时，在不设置路由表的情况下发出的所有流量都是全部通过vpn转发出去，只要是vpn能访问的网站客户端都能访问。客户端发出的数据报真正到达了目标主机。 　　

　　vpn通过操作系统的接口直接虚拟出一张网卡，后续整个操作系统的网络通讯都将通过这张虚拟的网卡进行收发。这和任何一个代理的实现思路都差不多，应用层并不知道网卡是虚拟的，这样vpn虚拟网卡将以中间人的身份对数据进行加工，从而实现各种神奇的效果。具体来说，vpn是通过编写一套网卡驱动并注册到操作系统实现的虚拟网卡，这样数据只要经过网卡收发就可以进行拦截处理。
　　需要在vps上部署vpn server，客户端所有数据将经过虚拟网卡的加密封装后都转发给vps上的vpn server，由它来转发给目标服务器，这和ss server原理类似，由vpn协议加密从而绕过GFW实现访问墙外网站，

2、正向代理

我们常说的代理也就是只正向代理，正向代理的过程，它隐藏了真实的请求客户端，服务端不知道真实的客户端是谁，客户端请求的服务都被代理服务器代替来请求，某些***工具扮演的就是典型的正向代理角色。用浏览器访问 http://www.google.com 时，被残忍的block，于是你可以在国外搭建一台代理服务器，让代理帮我去请求google.com，代理把请求返回的相应结构再返回给我。

3、反向代理

　　谷歌、脸书等国外网站访问不了，有可能是受到了DNS污染，将我们要访问网站的IP解析到了一个不存在或不能访问的错误IP上。因此可以通过修改hosts文件直接写入要访问网站对应的真实IP，不出意外是可以访问hosts文件里面添加的网站的。但我们可爱的GF还有另一项技能叫IP封锁呢，直接把这个IP封了，我能怎么办，我也很无奈。

　　反向代理闪亮登场，以一台能够访问谷歌等外网的机器作为代理机器，并在代理机上配置到谷歌等网站的反向代理，客户端只需修改hosts文件走反向代理就能实现访问，客户端不能访问所有被墙的网站，仅限于在hosts文件中指明的网站。客户端发出的数据报没有真正到达目标主机，而是只到了代理机，代理机再将根据客户端请求将目标网站内容拉取过来返回给客户端。

　　修改hosts文件走别人的反向代理服务器访问外网存在一定的安全隐患，因为数据对代理服务器可见，代理服务器搭建者可监听数据。

正向代理和反向代理区别

用户希望代理服务器帮助自己，和要访问服务器通信，为了实现此目标，需要以下工作：
a) 用户IP报文的目的IP = 代理服务器IP
b) 用户报文端口号 = 代理服务器监听端口号
c) HTTP 消息里的URL要提供服务器的链接
2）代理服务器可以根据c)里的链接与服务器直接通信
3）服务器返回网页
4）代理服务器打包3）中的网页，返回用户。

正向代理中，proxy和client同属一个LAN，对server透明；
反向代理中，proxy和server同属一个LAN，对client透明。
实际上proxy在两种代理中做的事都是代为收发请求和响应，不过从结构上来看正好左右互换了下，所以把后出现的那种代理方式叫成了反向代理。
两者的区别在于代理的对象不一样：正向代理代理的对象是客户端，反向代理代理的对象是服务端