声明:该文章只是用于技术探索的实践与讨论,没有其他用途。
准备:
- 一台能访问外网的服务器;
- 一个域名,映射到上面的服务器;
- https的证书及密钥;
- nginx安装包;
协议使用:
开搞:
-
安装nginx,并使用第三方模块(ngx_http_proxy_connect_module,该模块用于https转发时,接收并创建CONNECT请求,用于后续的隧道传输数据,都是基于TCP的),具体步骤如下:
-
下载并解压ngx_http_proxy_connect_module模块(wget https://gitcode.net/mirrors/chobits/ngx_http_proxy_connect_module/-/archive/master/ngx_http_proxy_connect_module-master.tar.gz);
-
到nginx目录(类似nginx-1.24.0),执行命令:
bashpatch -p1 < /opt/ngx_http_proxy_connect_module-master/patch/proxy_connect_rewrite_102101.patch ./configure --add-dynamic-module=/opt/ngx_http_proxy_connect_module-master --with-http_ssl_module make && make install
-
-
配置nginx.conf文件,增加如下配置:
增加全局配置:load_module /usr/local/nginx/modules/ngx_http_proxy_connect_module.so;
增加如下server配置: server {
listen 6060 ssl;
server_name 域名(对应准备中的域名);
charset utf-8;
resolver 8.8.8.8;
client_max_body_size 50m;
access_log logs/access_proxy.log;
proxy_connect;
proxy_connect_allow 443 563;
proxy_connect_timeout 20s;
proxy_read_timeout 20s;
proxy_send_timeout 20s;
ssl_certificate /path/xxx.pem(对应准备中的证书);
ssl_certificate_key /path/xxx.key(对应准备中的密钥);
location / {
proxy_pass scheme://http_host$request_uri;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-NginX-Proxy true;
proxy_redirect off;
proxy_buffers 256 4k;
}
}
- 启动nginx;
说明:
为什么client与proxy之间需要https?因为这样可以使CONNECT请求基于ssl进行发送,保护了请求域名,否则对于google.com这种host,会被劫持;
- 这个正向代理的原理是什么?基于http的CONNECT方法,建立client到proxy、proxy到server的隧道,后面发送数据都是proxy直接进行转发,保证数据安全;
结果:
可以通过该nginx的正向代理的方式,去访问google这样的网站。