反向代理（Reverse Proxy）是一种代理服务器，它接收客户端请求并将其转发到内部服务器。简而言之，反向代理扮演了一个“中间人”的角色，外部用户的请求首先被反向代理服务器接收，然后再转发给实际的内部服务器。

在当今网络环境中，反向代理不仅仅是大型企业的需求，对于中小型网络管理者、IT 初学者来说，掌握反向代理技术可以更好地保护内网资源、管理流量，并提升用户访问体验。这种配置带来的优势主要包括：

• 安全性：隐藏内部服务器的真实 IP，降低直接攻击的风险。
• 负载均衡：将请求分配到不同的服务器上，提升服务的稳定性。
• 缓存优化：缓存常用资源，减少服务器的负担，提高响应速度。

本教程使用的防火墙软件版本为pfSense plus 23.05，防火墙配置SSL证书请参考pfSense使用CloudFlare动态域名，配置Let’s Encrypt证书实现SSL安全访问一文，本文介绍pfSense防火墙配置HAProxy代理，SSL远程连接内网服务器(群晖nas)的设置方法。

安装HAProxy插件

转到系统>插件管理，可用插件选项卡，找到haproxy-devel，单击右侧按钮安装插件。

添加防火墙规则

在对应的WAN接口上，为群晖NAS的访问开放一个前端端口，由于 443 端口被运营商禁用，本示例使用9443端口。为了保证访问安全，该规则的源地址应该限定在安全范围。

设置HAProxy后端

转到服务>HAProxy，后端选项卡，添加群晖NAS后端。NAS地址为192.168.101.16，默认https访问端口为5001。CA和证书选中为pfSense防火墙申请的CA和证书。其他选项可保持默认。输入完成后点击保存。

设置HAProxy前端

转到服务>HAProxy，前端选项卡，为群晖NAS后端添加一个访问前端。选中要使用的WAN接口，端口输入前面开放的9443端口，选中SSL卸载，类型选http/https（offloading）。

默认后端选前面创建的群晖NAS。

证书选防火墙使用的证书。

其他选项保持默认。输入完成点击底部的保存按钮。

启用HAProxy服务

转到服务>HAProxy，设置选项卡，选中启用HAProxy，并根据需要设置最大连接数和最大SSL Diffie-Hellman大小两个参数，其他选项保持默认。完成后点击底部的保存按钮。

检查测试

浏览器输入https://jx.pfchina.site:9443，访问群晖NAS的登录界面，检查挂锁是否成功。

其他后端设置

ESXI、Alist和OpenWrt旁路由后端的设置，与群晖NAS后端的配置方法基本相同，只有个别选项稍有不同。

ESXI后端设置需要注意“Http check method(http检查方法)”选项，不能使用默认的OPTIONS选项，必须选HEAD或GET，不然会出现服务不可用的问题。

Alist后端不能选“Encrypt(SSL)”选项。

OpenWrt后端与群晖NAS的设置相同，无需做任何调整。

相关文章：

• pfSense配置ddns.org动态域名，配置SSL证书实现SSL安全访问
• pfSense使用CloudFlare动态域名，配置Let’s Encrypt证书实现SSL安全访问
• OPNsense使用CloudFlare动态域名，配置Let’s Encrypt证书实现SSL安全访问
• OPNsense配置HAProxy+ACME反向代理教程