使用 Websocat 构建 WebSocket 代理

WebSocat 是一个简洁而强大的命令行工具，允许用户在不同网络协议之间进行端口转发和协议转换，特别适合于设立 WebSocket 代理场景。本文旨在介绍如何利用 WebSocat 创建一个 WebSocket 代理，并详述通过代理服务器访问 WebSocket 服务的一种常见应用场景。

WebSocket 代理简介

WebSocket 代理充当客户端与目标 WebSocket 服务之间的中继站，允许数据双向传输。这种代理适用于多种场景，包括但不限于跨越网络限制、进行开发测试，以及增强安全性等。

配置 WebSocat 代理

需求场景

考虑这样一个场景：有一客户端A位于内部网络，需要访问外部的 WebSocket 服务 ws://somedomain/somewhere，但是因网络控制或安全策略的存在而无法直接访问。我们计划使用 WebSocat 在另一台计算机上创建一个代理服务器来解决这一问题。

基本命令

在代理服务器上，利用以下命令创建一个简易的 WebSocket 代理：

websocat --text ws-l:0.0.0.0:8080 ws://somedomain/somewhere

说明：

• --text 参数指示以文本模式处理数据流。
• ws-l:0.0.0.0:8080 表示启动一个 WebSocket 监听器，绑定所有网络接口的 8080 端口。
• ws://somedomain/somewhere 是要连接的目标 WebSocket 地址，所有到代理服务器的数据均会转发至此地址。

该方法的局限性在于其对目标地址的固定性。在需要动态设置转发目标的场景中，客户端必须能够灵活地指明所需连接的服务。

动态目标代理

目标

实现一种允许客户端通过代理指定不同 WebSocket 服务的机制，以便根据每个请求动态调整转发目标。

解决方案

通过结合使用 Bash 脚本动态启动 WebSocat 子进程，我们能够为不同的目标地址处理请求，如下所示：

websocat -Ee --text ws-l:0.0.0.0:8080 sh-c:'websocat ${WEBSOCAT_URI:1}'

解释：

• sh-c: 用于执行 shell 命令，作为 WebSocat 子进程的操作。
• ${WEBSOCAT_URI:1} 动态解析传入的 WebSocket 路径作为转发目标。

示例应用

如需通过代理访问 wss://stream.binance.com:9443/ws/btcusdt@ticker，客户端仅需连接到 ws://<proxyServerIp>:8080/wss://stream.binance.com:9443/ws/btcusdt@ticker。

处理 WebSocket Secure (WSS)

在代理 HTTPS (即 wss://) 目标地址时，需考虑 TLS/SSL 兼容性问题。

常见问题与解决方案

• 面对特定服务（例如 Binance 流服务）收到的 WebSocketError: I/O failure 错误，原因可能与 SSL 配置或网络速度相关。
• 可通过在 WebSocat 命令中加入 -k 选项，跳过 SSL 验证解决上述问题（注意：生产环境中不推荐使用该方法）。

实际网络环境的考量

• 网络延迟：确保从客户端至代理，再至最终目标的网络延时在可接受的范围内，以免导致连接失败。
• 防火墙设置：确保代理服务器的防火墙设置允许 TCP 连接至所设监听端口（例如，本例中的 8080 端口）。

总结

WebSocat 以其灵活性和强大的功能，提供了简便的方式来设立功能完备的 WebSocket 代理。无论是固定的转发配置还是支持客户端指定动态目标的代理，WebSocat 都能够提供有效的解决方案。我们展示的实例解析了如何针对不同的 WebSocket 连接需求调整命令，以实现预期功能。

对于初学者，建议从固定目标代理的简单应用开始，逐步深入了解 WebSocat 的参数配置，根据具体需求逐渐扩展更多功能。对于运维和开发人员而言，该工具不仅能提升开发测试的效率，还能在生产环境中为 WebSocket 通信提供更安全的管控手段。