Nginx使用同一端口兼容http和https并实现客户端真实IP获取

已于 2024-04-12 10:52:58 修改
阅读量2.7k 收藏 10
点赞数 11
CC 4.0 BY-SA版权
文章标签: http nginx https
于 2023-12-19 18:26:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huhaiand/article/details/135091138
本文详细描述了如何在NGINX中配置同一端口同时支持HTTP和HTTPS,以及如何通过SSL预读协议实现IP白名单限制,并通过iptables和iproute规则确保客户端IP转发。最终实现了后端服务的真实IP地址显示和安全策略的实施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一,需求来源

1,因历史原因需要在同一个端口实现http和https的同时支持

2,因安全需求需要对部分接口URL添加白名单IP限制,需要将真实客户端IP转发到后端服务上

二,实现原由

1,同一端口实现兼容http和https主要使用的是nginx的stream->map $ssl_preread_protocol->server转发。

2,IP透传主要使用的是proxy_bind $remote_addr transparent;和iptables+ip route规则实现。

三,实现过程

1,后端真实服务监听端口在: 192.168.0.101:9000

2,前端NGINX代理运行在: 192.168.0.100:9000

3,在NGINX服务上建两个分别为HTTP和HTTPS协议的服务使用不同的端口指向后端服务

server {
    listen 20036;     # http
    listen 20037 ssl; # https
    ssl_certificate /etc/nginx/cert.pem;   #证书。
    ssl_certificate_key /etc/nginx/cert.key;   #证书。
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #使用此加密套件。
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   #使用该协议进行配置。
    ssl_prefer_server_ciphers on; 
    
        location / {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            client_body_buffer_size 100M;
            client_max_body_size 100M;
            proxy_buffer_size 512k;
            proxy_buffers 64 512k;
            proxy_busy_buffers_size 1m;
            proxy_connect_timeout 300;
            proxy_http_version 1.1;
            proxy_set_header Connection "";
            chunked_transfer_encoding off;
            proxy_pass http://192.168.0.101:9000;
        }

}

4,在NGINX服务上建立stream通过ssl_preread_protocol自适应客户端请求类型进行转发。此时用http和https均能正常访问到后端服务。但是在后端服务的访问日志中可以看到所有的来源IP地址都是192.168.0.100。

stream {
  upstream http_gateway {
    server  127.0.0.1:20036;
  }
  upstream https_gateway {
    server  127.0.0.1:20037;
  }
  map $ssl_preread_protocol $upstream{
    default http_gateway;
    "TLSv1.0" https_gateway;
    "TLSv1.1" https_gateway;
    "TLSv1.2" https_gateway;
    "TLSv1.3" https_gateway;
  }

  server {
    listen 9000;
    ssl_preread on;
    #proxy_bind $remote_addr transparent;  #这行先注释
    proxy_pass $upstream;
  }
}

5,使用以下方法将客户端地址和连接透传到后端服务上。

在NGINX服务器上stream的server中配置启用以下:

proxy_bind $remote_addr transparent;  

该行启用后客户端访问NGINX时会卡在连接状态无法连接成功,需要进后行续处理。

6,NGINX服务器上添加iptables规则和ip route路由

#1,添加路由到lo口,100
ip route add local 0.0.0.0/0 dev lo table 100
#2,mark标记为1的使用100路由规则
ip rule add fwmark 1 lookup 100

7,后端服务器上添加规则

#1,允许流量
iptables -I INPUT -i bond0 -j ACCEPT
#2,禁用101主机上的reverse path filter,避免无法回复非本地网段数据包
echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.conf
echo "net.ipv4.conf.bond0.rp_filter = 0" >> /etc/sysctl.conf
#3,对源地址和端口为本机服务的打mark为1
iptables -t mangle -A OUTPUT -p tcp --src 192.168.0.101 --sport 9000  -j MARK --set-xmark 0x1/0xffffffff
#4,添加路由到前端代理服务器,100
ip route add default via 192.168.0.100 table 100
#5,mark匹配的使用该100路由转发回前端代理主机
ip rule add fwmark 1 lookup 100

8,重启nginx(reload不生效)观察访问日志结果。

多次测试后成功。

四,参考资源和原理说明:

nginx的tcp透明代理设置 - 简书

IP Transparency and Direct Server Return with NGINX Plus

记玄妙莫测的透明代理_tproxy-CSDN博客

huhaiand
关注
Nginx 一个端口同时支持 http https协议【详细步骤】
甘蓝的专栏
12-20 3111
讲述 Nginx 的一个端口同时支持 http https 两种协议的处理办法。
Nginx透传术:一招打通HTTP&HTTPS真实IP直达后端
java专栏
04-29 1382
在复杂的网络架构中,尤其是在使用反向代理如Nginx时,客户端真实IP地址往往会被代理服务器的IP所取代。本篇将深入探讨如何在Nginx中配置,实现HTTPHTTPS请求的客户端IP地址透传,让你在网络的迷雾中也能精准捕获每一束真实的光芒。记住,安全总是多层防御的结果,IP透传虽好,但别忘了结合其它安全措施,共同织就一张牢不可破的防护网。对于HTTPS请求,除了透传IP,还需考虑SSL卸载以减轻后端服务器压力。则记录了请求经过的所有代理服务器的IP客户端IP作为列表的第一个条目。
NGINX SSL/TLS 预读模块解密 ngx_stream_ssl_preread_module 实战指南
最新发布
hello.reader
06-13 1159
NGINX的ngx_stream_ssl_preread_module模块(1.11.5+引入)可在不解密SSL/TLS连接的情况下,直接从ClientHello中提取SNI域名、ALPN协议TLS版本信息。通过开启ssl_preread on指令,配合内置变量map映射规则,可实现基于SNI、ALPN或TLS版本的智能流量分流。该模块支持零拷贝路由,适用于多协议网关、灰度发布等场景,性能开销极低。配置时需注意非TLS流量处理默认路由设置,与全解密模块相比更轻量但安全性稍弱,适合作为流量入口的预处理层
Nginx 同一端口 同时支持httphttps 协议
虎康的博客
10-16 5998
通过上述配置,Nginx 将同时监听 HTTP HTTPS 请求,根据请求的协议类型进行适配转发。HTTP 请求会被转发至 80 端口HTTPS 请求会被转发至 443 端口,而后端服务可以使用相同的端口(例如 8000)来处理这些转发的请求。以上配置假设将 HTTP HTTPS 请求都转发至本地的某个服务(如运行在本地 8000 端口上的应用程序)。请注意,为了支持 HTTPS,必须配置正确的 SSL/TLS 证书密钥,确保与所使用的域名匹配。
nginx 同一端口支持httphttps配置
u010753376的专栏
09-01 2638
由于streamstream_ssl_preread模块非默认引入,需要在编译安装nginx时引入;编译时添加配置参数 --with-stream --with-stream_ssl_preread_module。添加stream配置,让其识别到http访问时默认走http,其余走https。重启ng,即可同时通过httphttps访问了。执行make & make install。3.配置httphttps访问资源。2.配置nginx.conf。
nginx配置一个端口同时支持httphttps
daimaxiaoyu的博客
02-21 2944
http重定向到https
nginx 同一端口支持 http https_Nginx
weixin_39844942的博客
12-21 1878
Nginx功能web 服务器负载均衡反向代理特点网络 I/O 模型:epoll、kqueue支持高发连接(发连接数:测试环境 5w,生产环境 2~4w )执行效率极高,内存、CPU等系统资源消耗低,运行稳定配置简单灵活支持 rewrite 重写规则内置健康检查节省带宽支持热部署成本低安装github:https://github.com/nginx/nginx/releases编译依赖:GCC...
Nginx配置同一个域名同时支持httphttps两种方式访问实现
01-09
Nginx服务器配置中,实现同一个域名同时支持HTTPHTTPS两种访问方式是非常常见的需求,主要是为了提供安全的加密连接(HTTPS)以及兼容那些尚未升级到HTTPS客户端HTTP)。以下是一个详细的步骤来解释如何配置...
如何通过nginx配置,实现httphttps使用同一端口
03-08
好的,用户问的是如何通过Nginx配置实现HTTPHTTPS使用同一端口。这个问题看起来有点挑战性,因为通常HTTP默认用80端口HTTPS用443端口。用户可能希望简化配置,或者在某些特殊场景下需要共用端口。 首先,我得...
详解nginx同一端口监听多个域名同时监听httphttps
09-30
主要介绍了详解nginx同一端口监听多个域名同时监听httphttps的相关资料,需要的朋友可以参考下
Nginx同时支持HttpHttps的配置详解
01-09
现在的网站支持Https几乎是标配功能,Nginx能很好的支持Https功能。下面列举一个配置同时支持HttpHttps的功能。 需要注意的是:既然选择使用Https,就是为了保证通信安全,那么就没必要再用Http进行通信了。在URL中还支持Http的方式,主要是为了用户不知道网站支持Https,还是使用Http的方式进行访问。这时Nginx后台需要自动将Http请求转成Https的方式,这样就又能支持Http,又能保证通信安全了。 废话不多说,下面直接贴一个Nginx支持HttpHttps的配置,是我的wordpres网站支持Https的配置,大家何以参考。 server { #
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-10 5925
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
Nginx配置httpshttp可同时访问方法
chuisanchi9688的博客
06-19 735
nginx配置SSL证书之后,https可以正常访问,http访问显示400错误,nginx的配置如下: server { listen 80 default backlog=2048; listen 443; ...
一个端口同时支持httphttps 协议
鑫的专栏
03-06 1083
nginx 配置 同一端口支持 http https 协议,ssl协议非ssl
Nginx】设置httpshttp同时使用同一端口访问
姜太小白的博客
01-07 1752
设置httpshttp同时使用同一端口访问
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值