那些遇到过的问题

使用 Nginx 反向代理的代理协议

cva*_*man 2 nginx reverse-proxy transparent-proxy

概述

我有一个指向 SaaS 应用程序 (BigCommerce) 的 Nginx 反向代理设置。虽然我的配置运行良好,但我无法确保客户端 IP显示在 SaaS 后端而不是反向代理 IP中。在 SaaS 后端,没有机制可以添加或使用受信任的 IP 地址列表set_real_ip_fromreal_ip_header因此我的任务是在反向代理上实施proxy_protocol,以确保 IP 标头使用客户端的 IP 而不是通过反向代理传递。它自己的。

配置

http server上下文中

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host:$server_port;

    # support http 1.1 persistent connections
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;
Run Code Online (Sandbox Code Playgroud)

问题

当我在 http 服务器上下文中启用proxy_protocol指令listen时(例如listen 443 ssl http2 proxy_protocol),我Broken Header在 nginx 中收到错误,connection_reset在浏览器中收到错误。

另外,我尝试proxy_protocol通过Nginx 的“接受代理协议”stream文档中指定的上下文来启用:

stream上下文中

stream {
    server {
        listen 12345;
        proxy_pass example.com:12345;
        proxy_protocol on;
    }
}
Run Code Online (Sandbox Code Playgroud)

我不熟悉,proxy_protocol所以我不知道我缺少什么才能使其正常工作。

从技术上讲,我真的试图让我的反向代理成为“透明代理”,但它似乎不适用于 SaaS 后端,因为它记录的是代理 IP 而不是客户端 IP。

Pio*_*asz 5

你看错了方向:

  1. listen 443 ssh http2 proxy_protocol;指令(参见listen )启用对传入连接的代理协议的解析。您的浏览器不支持该协议,因此会出现Bad Header错误。如果您想查看代理协议使用的最小示例:

    openssl s_client -connect <nginx_ip>:https -crlf
    Run Code Online (Sandbox Code Playgroud)

    并输入:

    PROXY TCP4 10.0.0.1 10.0.0.1 443 443
GET / HTTP/1.1
Host: <nginx_host_name>
    Run Code Online (Sandbox Code Playgroud)

    接下来是两个空行。

  2. proxy_protocol on;指令(参见proxy_protocol)将启用 Nginx 和 SaaS 服务器之间的代理协议。然而,后者不支持您所说的代理协议。你需要实施它。

但是,您还有第三种解决方案,如果nginx位于 SaaS 服务器和 Internet 之间的路径上,则该解决方案有效:

  1. 使用proxy_bind指令(参见proxy_bind)告诉nginx欺骗其源地址(使用来自客户端的地址):

    proxy_bind $remote_addr transparent;
    Run Code Online (Sandbox Code Playgroud)

  2. nginx可以轻松欺骗源地址,但来自 SaaS 服务器的响应数据包将被路由到客户端而不是nginx。因此,您需要拦截来自 SaaS 服务器的数据包。您需要一个新的路由表,让我们transparent通过添加以下内容来调用它:

    100 transparent
    Run Code Online (Sandbox Code Playgroud)

    /etc/iproute2/rt_tables。然后您需要接受任何地址作为本地地址:

    ip route add local default dev lo table transparent
    Run Code Online (Sandbox Code Playgroud)

    最后,您需要添加一条防火墙规则,以强制对从 SaaS 服务器返回的所有流量使用路由表transparent(假设其地址为10.10.10.10):

    iptable -t mangle -A PREROUTING -p tcp -s 10.10.10.10 --sport 80 -m socket\
--transparent -j MARK --set-mark 1
ip rule add fwmark 1 lookup transparent
    Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

18682 次

最近记录:

5 年,6 月 前
相关归档
什么是最好的 nginx 压缩 gzip 级别? 51
为什么 sub_filter 与 proxy_pass 一起使用时似乎不起作用? 23
带有 httpd mod_proxy_balancer 的“没有对 URL 有效的协议处理程序” 8
从 nginx 日志中获取用户代理列表 7
有什么方法可以检测 nginx 何时完成正常关闭? 6
Nginx 1.6.3 到 1.8 升级 5
带有锚标记的 Nginx 重定向规则 3
在 port_in_redirect: off 之后 NGINX 重定向到 HTTP 3
从 nginx url 中删除井号 (#) 并重定向 3
将 SSH 连接透明地转发到 NATed 服务器 0
难疑归档
在本地复制大型目录树?cp 还是 rsync? 308
如何运行 Debian 稳定版但安装一些测试包? 236
如何在 Linux 中显示文本文件中的某些行? 100
每 2 小时运行一次 Cron 83
Rsync 在目标目录中创建一个同名目录 75
为什么要阻止端口 22 出站? 72
在 linux 文件系统树中存储 git 存储库的传统位置在哪里? 68
Linux:如何同时使用文件作为输入和输出? 68
如何管理我的 .ssh/known_hosts 文件 59
为什么我必须用 visudo 编辑 /etc/sudoers? 53