概述
我有一个指向 SaaS 应用程序 (BigCommerce) 的 Nginx 反向代理设置。虽然我的配置运行良好,但我无法确保客户端 IP显示在 SaaS 后端而不是反向代理 IP中。在 SaaS 后端,没有添加或使用受信任 IP 地址列表的机制set_real_ip_from,real_ip_header因此我的任务是proxy_protocol在反向代理上实施,以确保 IP 标头使用客户端的 IP 而不是通过反向代理传递它自己的。
配置
在http server上下文中
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host:$server_port;
# support http 1.1 persistent connections
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
问题
当我在 http 服务器上下文(例如)中启用proxy_protocol我的指令时,我在 nginx中收到一个错误,在我的浏览器中收到一个错误。listenlisten 443 ssl http2 proxy_protocolBroken Headerconnection_reset
此外,我尝试proxy_protocol通过stream上下文启用,因为它在 Nginx 的“接受代理协议”文档中指定:
在stream上下文中
stream {
server {
listen 12345;
proxy_pass example.com:12345;
proxy_protocol on;
}
}
我不熟悉,proxy_protocol所以我不知道我缺少什么才能使它正常工作。
从技术上讲,我真的试图让我的反向代理成为“透明代理”,但它似乎不适用于 SaaS 后端,因为它记录的是代理 IP 而不是客户端 IP。
你看错了方向:
该
listen 443 ssh http2 proxy_protocol;指令(参见listen )启用对传入连接的代理协议的解析。您的浏览器不使用协议,因此出现Bad Header错误。如果您想查看代理协议的最小示例,请使用:并输入:
后跟两个空行。
该
proxy_protocol on;指令(参见proxy_protocol)将启用 Nginx 和 SaaS 服务器之间的代理协议。但是,后者不支持您所说的代理协议。你需要实现它。但是,如果nginx位于 SaaS 服务器和 Internet 之间的路径上,您还有第三种解决方案:
使用
proxy_bind指令(参见proxy_bind)告诉nginx欺骗其源地址(使用来自客户端的源地址):nginx可以很容易地欺骗源地址,但是来自 SaaS 服务器的响应数据包将被路由到客户端而不是nginx。因此,您需要拦截来自 SaaS 服务器的数据包。你需要一个新的路由表,让我们
transparent通过添加来调用它:到
/etc/iproute2/rt_tables. 然后您需要接受任何本地地址:最后,您需要添加一条防火墙规则,以强制对
transparent从 SaaS 服务器返回的所有流量使用路由表(假设其地址为10.10.10.10):