proxy_connect 中文版

优质
小牛编辑
146浏览
2023-12-01

该模块提供对HTTP方法CONNECT的支持。(Tengine 2.3.0版本之后) 该方法主要用于SSL请求隧道

Example

Configuration Example

server {
    listen                         3128;

    # dns resolver used by forward proxying
    resolver                       8.8.8.8;

    # forward proxy for CONNECT request
    proxy_connect;
    proxy_connect_allow            443 563;
    proxy_connect_connect_timeout  10s;
    proxy_connect_read_timeout     10s;
    proxy_connect_send_timeout     10s;

    # forward proxy for non-CONNECT request
    location / {
        proxy_pass http://$host;
        proxy_set_header Host $host;
    }
}

Example for curl

你可以通过HTTP CONNECT隧道访问任意HTTPS网站。 使用命令curl的简单示例如下:

$ curl https://github.com/ -v -x 127.0.0.1:3128
*   Trying 127.0.0.1...                                           -.
* Connected to 127.0.0.1 (127.0.0.1) port 3128 (#0)                | curl与Tengine(proxy_connect模块)创建TCP连接。
* Establish HTTP proxy tunnel to github.com:443                   -'
> CONNECT github.com:443 HTTP/1.1                                 -.
> Host: github.com:443                                         (1) | curl发送CONNECT请求以创建隧道。
> User-Agent: curl/7.43.0                                          |
> Proxy-Connection: Keep-Alive                                    -'
>
< HTTP/1.0 200 Connection Established                             .- Tengine返回200说明隧道建立成功。
< Proxy-agent: nginx                                           (2)|  (后续客户端发送的任何数据都会被代理到对端,Tengine不会修改任何被代理的数据)
<                                                                 '-

* Proxy replied OK to CONNECT request
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256  -.
* Server certificate: github.com                                   |
* Server certificate: DigiCert SHA2 Extended Validation Server CA  | curl通过隧道发送"https://github.com"请求,
* Server certificate: DigiCert High Assurance EV Root CA           | proxy_connect模块将把数据代理到对端(github.com)。
> GET / HTTP/1.1                                                   |
> Host: github.com                                             (3) |
> User-Agent: curl/7.43.0                                          |
> Accept: */*                                                     -'
>
< HTTP/1.1 200 OK                                                 .-
< Date: Fri, 11 Aug 2017 04:13:57 GMT                             |
< Content-Type: text/html; charset=utf-8                          |  任何来自对端的数据都会被proxy_connect模块发送给客户端curl。
< Transfer-Encoding: chunked                                      |
< Server: GitHub.com                                           (4)|
< Status: 200 OK                                                  |
< Cache-Control: no-cache                                         |
< Vary: X-PJAX                                                    |
...                                                               |
... <other response headers & response body> ...                  |
...                                                               '-

以上示例的流程图示例如下:

  curl                     nginx (proxy_connect)            github.com
    |                             |                          |
(1) |-- CONNECT github.com:443 -->|                          |
    |                             |                          |
    |                             |----[ TCP connection ]--->|
    |                             |                          |
(2) |<- HTTP/1.1 200           ---|                          |
    |   Connection Established    |                          |
    |                             |                          |
    |                                                        |
    ========= CONNECT 隧道已经被建立。========================
    |                                                        |
    |                             |                          |
    |                             |                          |
    |   [ SSL stream       ]      |                          |
(3) |---[ GET / HTTP/1.1   ]----->|   [ SSL stream       ]   |
    |   [ Host: github.com ]      |---[ GET / HTTP/1.1   ]-->.
    |                             |   [ Host: github.com ]   |
    |                             |                          |
    |                             |                          |
    |                             |                          |
    |                             |   [ SSL stream       ]   |
    |   [ SSL stream       ]      |<--[ HTTP/1.1 200 OK  ]---'
(4) |<--[ HTTP/1.1 200 OK  ]------|   [ < html page >    ]   |
    |   [ < html page >    ]      |                          |
    |                             |                          |

Install

  • 源码安装此模块:
$ ./configure --add-module=./modules/ngx_http_proxy_connect_module
$ make && make install

Directive

proxy_connect

Syntax: proxy_connect Default: none Context: server

开启对HTTP方法"CONNECT"的支持。

proxy_connect_allow

Syntax: proxy_connect_allow all | [port ...] | [port-range ...] Default: 443 563 Context: server

该指令指定允许开启CONNECT方法的端口。 默认情况下,只有443和563端口被允许。

使用如下参数来修改默认行为:

all值允许所有端口。

port指定允许的特定端口。

port-range指定允许的指定端口范围,示例:

proxy_connect_allow 1000-2000 3000-4000; # 允许端口范围1000-2000 和 3000-4000

proxy_connect_connect_timeout

Syntax: proxy_connect_connect_timeout time Default: none Context: server

指定与对端服务器建联的超时时间。

proxy_connect_read_timeout

Syntax: proxy_connect_read_timeout time Default: 60s Context: server

指定读对端服务器数据的等待时间。 超时时间仅在两次读数据之间生效,而不是整个应答数据时间。 如果对端服务器在超时时间内未发送任何数据,连接将被关闭。

proxy_connect_send_timeout

Syntax: proxy_connect_send_timeout time Default: 60s Context: server

指定发送数据到对端服务器的等待时间。 超时时间仅在两次发送数据之间生效,而不是整个请求时间。 如果对端服务器在等待时间内未收取任何数据,连接将被关闭。

proxy_connect_address

Syntax: proxy_connect_address address | off Default: none Context: server

指定对端服务器的地址。该值可以包含变量。 值off或者不设置该指令,则对端服务器的地址将CONNECT请求行的host字段提取并解析(如查询DNS)。

proxy_connect_bind

Syntax: proxy_connect_bind address [transparent] | off Default: none Context: server

指定与对端服务器的连接的来源地址。 该值可以包含变量。值off或者不设置该指令将由系统自动分配来源地址和端口。

transparent参数值使与对端服务器的连接的来源地址为非本地地址。示例如下(使用客户端地址作为来源地址):

proxy_connect_bind $remote_addr transparent;

为了使transparent参数生效,需要配置内核路由表去截获来自对端服务器的网络流量。

Variables

$connect_host

CONNECT请求行的主机名(host)字段。

$connect_port

CONNECT请求行的端口(port)字段。

$connect_addr

对端服务器的IP地址和端口,如"192.168.1.5:12345"。

$proxy_connect_connect_timeout

获取和设置的超时时间。

示例如下:

# 设置默认值

proxy_connect_connect_timeout   10s;
proxy_connect_read_timeout      10s;
proxy_connect_send_timeout      10s;

# 覆盖默认值

if ($host = "test.com") {
    set $proxy_connect_connect_timeout  "10ms";
    set $proxy_connect_read_timeout     "10ms";
    set $proxy_connect_send_timeout     "10ms";
}

$proxy_connect_read_timeout

获取和设置的超时时间。

$proxy_connect_send_timeout

获取和设置的超时时间。

Known Issues

  • 不支持HTTP/2的CONNECT方法。CONNECT方法仅支持HTTP/1.x和HTTPS。