概述
我有一个指向 SaaS 应用程序 (BigCommerce) 的 Nginx 反向代理设置。虽然我的配置运行良好,但我无法确保客户端 IP显示在 SaaS 后端,而不是反向代理 IP。在 SaaS 后端,没有添加受信任 IP 地址列表或使用的机制set_real_ip_from,real_ip_header因此我被要求proxy_protocol在反向代理上实施,以确保 IP 标头通过反向代理传递客户端的 IP 而不是其自己的 IP。
配置
在http server上下文中
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host:$server_port;
# support http 1.1 persistent connections
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
问题
当我在 http 服务器上下文中启用proxy_protocol我的指令(例如)时,我收到一个listenlisten 443 ssl http2 proxy_protocolBroken Headernginx 和connection_reset我的浏览器中出现错误。
此外,我已尝试proxy_protocol通过stream上下文启用,因为它在“接受代理协议”Nginx 的文档:
在stream上下文中
stream {
server {
listen 12345;
proxy_pass example.com:12345;
proxy_protocol on;
}
}
我不太熟悉,proxy_protocol所以我不知道我缺少什么才能让它工作。
从技术上讲,我确实想让我的反向代理成为“透明代理”,但它似乎无法通过 SaaS 后端以这种方式工作,因为它记录的是代理 IP 而不是客户端 IP。
答案1
你看错了方向:
该
listen 443 ssh http2 proxy_protocol;指令(参见听)可以解析代理协议在传入连接上。您的浏览器不支持该协议,因此出现错误Bad Header。如果您想查看代理协议的最小示例,请使用:openssl s_client -connect <nginx_ip>:https -crlf并输入:
PROXY TCP4 10.0.0.1 10.0.0.1 443 443 GET / HTTP/1.1 Host: <nginx_host_name>后面跟着两行空行。
该
proxy_protocol on;指令(参见代理协议) 将启用 Nginx 和 SaaS 服务器之间的代理协议。但是,正如您所说,后者不支持代理协议。您需要实现它。
但是,你还有第三种解决方案,如果nginx位于SaaS服务器和互联网之间的路径上:
使用
proxy_bind指令(参见代理绑定) 告诉nginx欺骗它的源地址(使用来自客户端的地址):proxy_bind $remote_addr transparent;nginx可以很容易地欺骗源地址,但来自 SaaS 服务器的响应数据包将被路由到客户端,而不是nginx。因此,您需要拦截来自 SaaS 服务器的数据包。您需要一个新的路由表,我们
transparent通过添加以下内容来调用它:100 transparent至
/etc/iproute2/rt_tables。然后您需要接受任何地址作为本地地址:ip route add local default dev lo table transparent最后,您需要添加一条防火墙规则,强制对
transparent从 SaaS 服务器返回的所有流量使用路由表(假设其地址是10.10.10.10):iptable -t mangle -A PREROUTING -p tcp -s 10.10.10.10 --sport 80 -m socket\ --transparent -j MARK --set-mark 1 ip rule add fwmark 1 lookup transparent