我正在使用 Caddy 作为反向代理,因此只需要在网关中打开 2 个端口(一个用于 http,一个用于 https)。
我更愿意使用80和443,但我的 UniFi USG(网关)会干扰 443 并破坏 SSL。如果我选择另一个端口并为其添加端口转发,它就可以正常工作……但这对于我需要的每个服务器路由来说都是不合理的,因为我的防火墙会变成瑞士奶酪。
因此反向代理非常适合这种情况。我只会打开 2 个端口:88和444,这两个端口通向反向代理。在 Caddy 中,我可以轻松地在 Caddyfile 中设置目标端口:
// DNS points to the gateway's IP
mysubdomain.mydomain.com {
reverse_proxy {
to https://192.168.1.IP:443
transport http {
read_buffer 4096
}
{
}
问题
在我的第一次尝试中,我的 SSL 不起作用(由于代理修改的标头),所以我查看了Caddy 反向代理标头文档,发现他们确实修改了2个标题:
- 它添加或扩充了
X-Forwarded-For标题字段。 - 它设置
X-Forwarded-Proto标题字段。
我该使用什么值以便 Caddy 传递原始值,或者不添加任何内容?
当前配置
这是我目前拥有的,我应该使用什么来确保 X-Forwarded 标头不会被更改或添加?
mysubdomain.mydomain.com {
reverse_proxy {
to https://192.168.1.IP:443
transport http {
read_buffer 4096
}
{
header_up Host {http.request.host}
header_up X-Real-IP {http.request.remote.host}
header_up X-Forwarded-For { ?? }
header up X-Forwarded-Port { ?? }
header_up X-Forwarded-Proto { ?? }
}
后续问题:除了我已经设置的设置之外,还应该使用其他设置吗?
答案1
这应该可以
https://mysubdomain.mydomain.com {
reverse_proxy localhost:8080 {
header_up Host {host} # redundant
header_up X-Real-IP {remote}
header_up X-Forwarded-For {remote} # redundant
header_up X-Forwarded-Port {server_port} # redundant
header_up X-Forwarded-Proto {scheme}
}
}
标记为多余的是默认的,请参阅 https://github.com/caddyserver/caddy/issues/2873