nginx 正向代理 https 4层代理、7层代理

已于 2025-06-18 16:49:14 修改
阅读量1.4k 收藏 10
点赞数 3
文章标签: nginx https 数据库
于 2024-03-27 17:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjun5159/article/details/137080531
版权
文章介绍了在应用服务器受限于网络环境时,如何通过在前置机上使用Nginx进行四层和七层代理,以实现访问外网。详细讲解了两种方案,包括配置resolver、使用stream块和http块,以及处理多域名映射的情况。同时提到了正向和反向代理在443端口的限制问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题背景

因为网络环境受限,应用服务器无法直接访问外网,需要前置机上中转一下,这种情况可在应用服务器修改/etc/hosts文件指向前置机,在前置机上的nginx设置四层代理,从而出站。
在这里插入图片描述

方案

根据How to Use NGINX as an HTTPS Forward Proxy Server,nginx支持正向代理https,有L7(应用层,使用http connect)和L4(传输层)两种方式,L7和L4对客户端是有感知的,L7代理需要显式设置客户端的代理,L4要修改DNS解析(linux上/etc/hosts文件),

7层代理

7层代理即应用层代理,客户端使用http的connect方法与代理创建tunnel,代理与目标地址建立tcp连接,如此以来,代理与客户端、目标端分别建立了tcp链接,代理无脑转发TCP Stream,在此基础上客户端与目标端完成SSL握手。
在这里插入图片描述

4层代理

ngx_stream_core_module模块是实现L4代理的关键,使用nginx -V查看加载的模块,有以下几个参数,即表示支持4层代理。4层代理即运输层代理,https是运输层之上,所以对于运输层是透明的。

  • –with-stream
  • –with-stream_ssl_module
  • –with-stream_ssl_preread_module

经过考虑,选择了4层代理实现方式,这样只需要修改调用端所在机器的/etc/hosts,而代码不需要改动,对调用端而言相对透明。以下是实现4层代理的两种方式,本质而言是一样的,语法上有点差异。

解决方案一

博客中的写法

stream {
 # 注意,如果访问的是域名,则必须配置resolver;如果访问的是ip,则可以不用配resolver;
    resolver 114.114.114.114;
    server {
        listen 443;
        # 从SSL握手中的clientHello包中读出访问的域名
        ssl_preread on;
        proxy_connect_timeout 5s;
        proxy_pass $ssl_preread_server_name:$server_port;
    }
}

linux上可通过nslookup some.domain.com查看DNS;不配置resolver,访问域名时SSL握手失败,在error.log(nginx -V能看到--error-log-path选项)会有体现,
在这里插入图片描述
nginx在启动时会对域名解析一次,启动后不再解析,所以proxy_pass 中有变量时,必须配置resolver,以达到每次请求都可解析(nginx缓存了DNS解析结果,并不是每次请求都会实际DNS解析),可参考nginx中resolver参数配置解释Why does a variable not work in NGINX proxy_pass?;resolver指令还有valid选项用来控制DNS缓存时间;比如

resolver 127.0.0.1 [::1]:5353 valid=30s;

注意:stream块与http块是平级的,切勿嵌套;

解决方案二

如果只访问一个域名,可以写死;

http{
 //something else
}
stream {
    server {
        listen 443;
        ssl_preread on;
        proxy_pass www.baiducom:443;
    }
}

测试SSL时,可使用openssl s_client,详情可参考openssl s_client工具详解

openssl s_client -connect www.baidu.com:443 -debug

或者

openssl s_client -connect www.baidu.com:443 -msg

或者curl https://some.domain.com/some/path -v

上述解决方案只访问一个域名可以写死,如果访问多个域名该怎么办?老海给出了答案,也可参考官方文档Module ngx_stream_ssl_preread_module样例

stream {
  map $ssl_preread_server_name $target {
    a.com a-network;
    b.com b-network;
  }

  upstream a-network {
    server a.com:443;
  }
  upstream b-network {
    server b.com:443;
  }
  server {
    listen 443;
    ssl_preread on;
    proxy_pass $target;
  }

客户端访问a.com,经过map块映射,$target等于a.com:443,从而被server块中的proxy_pass代理到a.com:443。

总结

方案一和方案二都能满足需求,方案一相对简练,但要注意配置resolver;每次新增访问的域名,方案二都需要相应添加配置;

思考

经同事提醒,同一个nginx不能同时正向和反向代理443端口;想想为什么?

wangjun5159
关注
Nginx正向代理https请求
飞龙在天
07-14 5992
​ 默认开源版本的nginx是不支持代理https请求的,如果要实现这个功能,需要第三方模块 https://github.com/chobits/ngx_http_proxy_connect_module ​
使用 nginx 搭建代理服务器(正向代理 https 网站)指南
热门推荐
墨鸦的博客
08-14 3万+
使用 nginx 搭建代理服务器(正向代理 https 网站)指南
nginx正向代理https网站
一个致力于开源代码学习、分析和交流的博客
02-23 8171
本文描述了如何通过nginx代理来实现内网服务器的yum访问。
Nginx核心功能——nginx代理
最新发布
2401_88768957的博客
05-01 2136
主要作用是将客户端的请求转发给目标服务器,并将响应返回给客户端Nginx正向代理 充当客户端的“中间人”,它赋予开发者精准控制URL的能力,让请求的流转不再受限于物理路径,而是通过逻辑规则灵活适配业务需求。Nginx的七(应用)反向代理基于HTTP/HTTPS 协议。Nginx的四(网络)反向代理基于 TCP/UDP 协议,改成break标记,使用浏览器请求,
使用 Nginx 搭建代理服务器(正向代理 HTTPS 网站)指南
小蜗牛的珍贵百宝箱
09-30 1万+
本文介绍了如何使用 Nginx 搭建正向代理服务器,支持 HTTP 和 HTTPS 网站代理,并提供了详细的代码和配置示例。通过本文的学习,您可以掌握搭建正向代理的基础知识,并能在实际项目中应用。代理服务器是一种非常强大的工具,能够帮助我们隐藏客户端信息、绕过 IP 限制等。合理的配置和优化可以提升代理服务器的性能,从而满足实际应用中的需求。
nginx正向代理https和非80端口配置文档.pdf
12-31
nginx代理功能十分强大,经常用来做反向代理,但有的实际工作环境需要正向代理,经安装发现网上常用的方法有两点问题,1.并不支持https代理,2需要访问的网址一但加上非80端口就会403报错。 后经反复测试,已找到...
nginx正向代理与反向代理详解
09-29
本文将详细介绍Nginx如何实现正向代理和反向代理,以及这两种代理方式的应用场景。 **正向代理** 正向代理的主要作用是让内部网络中的设备(如服务器B)通过一个具有外部网络访问权限的设备(如服务器A)来访问...
ngixn正向https代理模块(透明代理)
08-10
ngxin本身并不支持https正向代理,对于诸如baidu.com这样的https请求,nginx默认并不支持,不过我们可以借助第三方模块来实现。
Nginx正向代理http和https.md
04-07
Nginx正向代理配置
nginx正向代理
weixin_68398469的博客
06-17 7168
server {# 解析域名表示服务器监听38080端口接收请求。配置DNS解析器,使用Google的公共DNS服务器进行域名解析。开启代理连接模块,通常用于处理HTTPS代理。允许代理连接到443(HTTPS标准端口)和563(通常用于某些加密的实时通信协议)端口。分别设置了HTTPS代理连接的建立、读取和发送超时时间,均为10秒。匹配所有请求,并使用proxy_pass指令将请求代理到相同方案(HTTP或HTTPS)、相同主机和相同URI的地址。请注意,
(二)nginx正向代理https
小渣渣
12-29 3133
原文章地址:https://www.cnblogs.com/zhaobin-diray/p/10861195.html 使用nginx作为http/https正向代理 默认nginx是不支持https正向代理的,要想通过nginx正向代理,作为https服务器,需要增加一个模块并重新编译nginx。 环境: centos 7 所需要的文件: #https://github.com/chobits/ngx_http_proxy_connect_module #http://nginx.org/packag
使用 NGINX 作为 HTTPS 正向代理服务器
云满笔记
10-17 5850
这里写目录标题1. 使用 NGINX 作为 HTTPS 正向代理服务器1.1. HTTP/HTTPS 正向代理的分类1.2. 为什么正向代理处理 HTTPS 流量需要特殊处理?1.3. NGINX 的解决方案1.3.1. HTTP CONNECT 隧道 (7 解决方案)1.3.1.1. 历史背景1.3.1.2. NGINX ngx_http_proxy_connect_module 模块1.3.1.3. 环境搭建1.3.1.4. 使用场景1.3.2. NGINX stream (4 解决方案)1.3.2
nginx配置正向代理支持https
x734400146的专栏
12-09 1320
nginx正向代理 https
使用NGINX作为HTTPS正向代理服务器
SmallCatBaby的博客
06-24 4898
NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂,而如何代理加密的HTTPS流量是正向代理需要解决的主要问题。本文将介绍利用NGINX正向代理HTTPS流量两种方案,及其使用场景和主要问题。 HTTP/HTTPS正向代理的分类 简单介绍下正向代理的分类作为理解下文的背景知识: 按客户端有无...
nginx配置https正向代理
huryer的专栏
04-15 5324
因网络访问权限限制,局域网内仅有1台电脑可以上外网;内网其他机器如果需要访问外网,需要通过该电脑进行代理访问。 本文分别介绍如何在windows,linux上如何配置nginx正向代理
实现nginx正向https代理模块的关键方法
根据给定文件信息,本次知识点生成的主题为“nginx正向https代理模块(透明代理)”,该主题涉及的知识点主要集中在如何将Nginx配置为正向代理服务器,并支持HTTPS协议。以下是对这个主题的知识点详细介绍: ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值