• Linux:Nginx 正向代理实现内网访问互联网

    前言:

            因为公司的某些系统需要访问互联网上的某些功能,每个系统的服务器都开通访问互联网的能力太麻烦并且不方便管理,所以打算只对一台服务器开通访问互联网的能力,并在此服务器基础上搭建 nginx 正向代理,方便其他系统可以使用该服务器作为代理借道访问互联网功能。

    一、调研

    互联网的访问有两种协议:https 和 http;nginx 默认只支持http,不支持 https,所以想达成nginx正向访问互联网有两种方案:

    1. nginx 正向代理做两个端口,一个端口代理 http 访问,另一个端口代理 https 访问;
    2. 添加 https 代理模块并打补丁包,这样可以在同一个端口处理 http 和 https 协请求;

    相对第二种方案,第一种方案访问 https 时需要把网址的 https 替换成 http;并且有两个端口,使用起来也比较麻烦;所以下面也就以第二种方案进行实施。

    二、安装所需要的依赖

    yum -y install gcc gcc-c++ pcre-devel pcre zlib-devel zlib openssl-devel openssl patch

    上述所有的依赖包都会用到,即使不安装在后续步骤也会提示。这里我遇到一个问题,openssl-devel 安装有版本问题,需要降低,非常麻烦,后来还是手动源码安装解决的,如果你也有可以参考:

    openssl 源码官网:https://www.openssl.org/source

    1. 执行解压命令:tar xzvf openssl-x.x.x.tar.gz
    2. 执行命令:cd openssl-x.x.x
    3. 执行命令:sudo ./config --prefix=/usr/local/openssl
    4. 执行命令:make
    5. 执行命令:make install
    6. 执行命令:mv /usr/bin/openssl /usr/bin/openssl.bak
    7. (是否覆盖回复y或者Y)
    8. 执行命令:ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
    9. 执行命令:echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
    10. 执行命令:ldconfig -v
    11. 查看SSL版本:openssl version

    三、获取 nginx 和 https 代理模块以及补丁包

    Nginx下载官网:http://nginx.org/en/download.html

     这里解释下为啥不选最新的稳定版1.22.1:下面这个代理模块的补丁包跟 nginx 有版本对应关系,最新版本暂不支持。

    https 模块下载地址:https://github.com/chobits/ngx_http_proxy_connect_module

     直接把全部代码下载下来,其中 patch 目录是补丁包存放目录,里面包含之前nginx版本对应的所有补丁包,当前对应关系如下:

     四、安装和配置

    nginx 安装包和 https 模块安装包都放到服务器统一目录下:

     在此基础上执行下面命令:

    1. # 解压两个包
    2. tar -xvf nginx-1.20.2.tar.gz
    3. unzip ngx_http_proxy_connect_module-master.zip
    4.  
    5. # 进入 nginx 目录
    6. cd nginx-1.20.2/
    7.  
    8. # 打补丁
    9. patch -p1 < /apps/temp/ngx_http_proxy_connect_module-master/patch/proxy_connect_rewrite_1018.patch
    10.  
    11. # 指定 nginx 安装目录,添加 https 代理模块,并添加 https 支持
    12. ./configure --prefix=/apps/app/nginx --add-module=/apps/temp/ngx_http_proxy_connect_module-master --with-http_ssl_module
    13.  
    14. # 编译
    15. make
    16.  
    17. # 安装
    18. make install

    上述命令执行完就安装好了nginx,进入 nginx 安装目录:

    在 conf 目录下配置 nginx.conf 如下:

    1.     server {
    2.         listen 8443;
    3.         resolver 10.176.161.63;	#DNS
    4.         server_name localhost;
    5.         proxy_connect;
    6.         proxy_connect_allow 443 80;
    7.         proxy_connect_connect_timeout 10s;
    8.         proxy_connect_read_timeout 10s;
    9.         proxy_connect_send_timeout 10s;
    10.  
    11.         location / {
    12.             proxy_set_header Host $host;
    13.             proxy_pass $scheme://$http_host$request_uri;    #设定代理服务器的协议和地址 
    14.             proxy_buffers 256 4k;
    15.             proxy_max_temp_file_size 0k;
    16.             proxy_connect_timeout 30;
    17.             proxy_send_timeout 60;
    18.             proxy_read_timeout 60;
    19.             proxy_next_upstream error timeout invalid_header http_502;
    20.         }
    21.     }

    在 nginx 目录下有一个 sbin 目录,里面是 nginx 命令,进入执行配置文件校验命令:

    在 sbin 目录下指定配置文件启动nginx:

    ./nginx -c /apps/app/nginx/conf/nginx.conf

     五、测试代理

    使用命令测试代理响应:

    1. curl -I --proxy localhost:8443 http://nginx.org
    2. curl -I --proxy localhost:8443 https://www.baidu.com

    六、设置黑白名单

    上述的配置并没有安全管控策略,假如其他非授权的系统也通过代理访问外网就存在风险性,所以添加黑白名单很重要(推荐白名单方式)。

    在 nginx.conf 同级目录下创建 ip_white.conf 文件,写入配置:

    1. # 允许 10.184.175.22 访问
    2. allow 10.184.175.22;
    3.  
    4. # 允许网段 10.187.144.1-254 访问
    5. allow 10.187.144.0/24;
    6.  
    7. # 允许网段 10.189.0.1-10.189.255.254 访问
    8. allow 10.189.0.0/16;
    9.  
    10. # 拒绝所有
    11. deny all;

    然后在 nginx.conf 中引入该配置文件(注意位置是跟 localtion 同级):

    1.     server {
    2.         listen 8443;
    3.         resolver 10.176.161.63;	#DNS
    4.         server_name localhost;
    5.         proxy_connect;
    6.         proxy_connect_allow 443 80;
    7.         proxy_connect_connect_timeout 10s;
    8.         proxy_connect_read_timeout 10s;
    9.         proxy_connect_send_timeout 10s;
    10.  
    11.         include /apps/app/nginx/conf/ip_white.conf;        # 引入白名单配置文件
    12.  
    13.         location / {
    14.             proxy_set_header Host $host;
    15.             proxy_pass $scheme://$http_host$request_uri;    #设定代理服务器的协议和地址 
    16.             proxy_buffers 256 4k;
    17.             proxy_max_temp_file_size 0k;
    18.             proxy_connect_timeout 30;
    19.             proxy_send_timeout 60;
    20.             proxy_read_timeout 60;
    21.             proxy_next_upstream error timeout invalid_header http_502;
    22.         }
    23.     }

    最后在 sbin 目录下重新加载一下配置文件:

    ./nginx -s reload

    黑名单配置跟白名单类似,可参考:

    1. # 拒绝 10.184.175.22 访问
    2. deny 10.184.175.22;
    3.  
    4. # 拒绝网段 10.187.144.1-254 访问
    5. deny 10.187.144.0/24;
    6.  
    7. # 拒绝网段 123.0.0.1-123.255.255.254 访问
    8. deny 123.0.0.0/8;
    9.  
    10. # 允许所有
    11. allow all;

    七、参考文档

    1.如何使用nginx做正向代理访问外网?

    2.Linux服务器通过Nginx正向代理上网

    3.nginx 正向代理实现上网

    4.nginx 正向代理https配置

  • 相关阅读:
    gRPC入门学习之旅(五)
    代码随想录第五十七天
    DataGridView可以点击列排序 Sort(使用BindingList改写)
    使用Python的imaplib模块读取邮箱信息(续)
    JDK8新特性 - Lambda表达式
    NVMe SSD 基本功
    安卓APP源码和设计报告——智能垃圾桶
    基于Solidworks的三维光路结构示意图绘制实例演示
    Flask-APScheduler 常见摸坑指南
    tensorflow的tensor
  • 原文地址:https://blog.csdn.net/qingquanyingyue/article/details/127445943