三楼正解。 在内网部署 stunnel 软件将 mysql/redis/minio 的 tcp 转化成 tls ，然后通过 sni 聚合成 1 个端口，防火墙开放 stunnel 这个端口给 dmz 区，由于 mysql 、redis 、minio 的客户端都支持 tls ，所以可以通过不同的 sni 直连 stunnel tls 端口（也可以通过 stunnel 将 tls 还原成 tcp ）。 你也可以在 mysql 、redis 、minio 上部署 tls ，然后在内网部署 sni proxy 聚合成一个端口开放给 dmz 区。 stunnel 、sniproxy 都是可以用在生产环境，在低并发(小于 500 并发）高带宽（千兆）下能长时间稳定运行。 你可以将你的问题和我的答案发给 ai ，让 ai 详细说原理和实施步骤。

这是公司的安全设计，你使用技术手段进行绕过，后续的不稳定，被黑都是你的问题。你应该走合规流程申请多开两个端口，时间长就找领导推进。这不是技术手段该解决的问题

接#20 ，你也可以在内网部署 ssh 、socks5 之类，然后防火墙开放 ssh/socks5 端口给 dmz ，不过 ssh 、socks5 等于开放整个内网，安全性比较差，强烈不推荐。 “通过 sni 聚合 3 个 tcp 端口”是最安全的方式，甚至比开放 3 个 tcp 端口更安全，因为 sni 名称天然就是一个密码锁。（看不懂可以发给 ai ）

@yinmin 谢谢佬 我去试试

@julyclyde 我刚入职，不是我设计的

@zjyl1994 我感觉也是，有点离谱

用什么 DMZ 啊，直接在对外服务器上 VPN ，一切过 VPN 访问内网

@badbay #23 如果临时用几天，最快最安全的方式是内网安装 stunnel server 将 3 路 tcp 聚合成 1 路 tls （根据 sni 区分），然后 dmz 区安装 stunnel client 将这路 tls 根据 sni 还原成 2 路 tcp ，你可以让 ai 写一下 stunnel 配置。

这不是技术问题 是责任问题，出了事儿就麻烦了

不要搞什么奇技淫巧，老板怎么说就怎么做，按照流程来， 端口该申请就申请，流程长就长，你着什么急