配置Nginx：实现http和https正向代理

"该文主要介绍了如何在 CentOS 7.6 环境下，使用 Nginx 配置正向代理以实现服务器B通过服务器A访问外部的http和https服务。文中涉及到的关键技术点包括Nginx的编译安装、第三方模块 ngx_http_proxy_connect_module 的安装以及正向代理配置的编写。" 在Nginx中，正向代理是一种网络代理模式，其中客户端（在此案例中是服务器B）通过代理服务器（服务器A）与目标服务器（外网）通信。正向代理通常用于隐藏客户端的真实身份，或者在内网服务器无法直接访问公网的情况下，通过代理服务器转发请求。 ### 正向代理配置步骤 1. 系统环境准备 - 操作系统：CentOS Linux release 7.6.1810 (Core) - Nginx 版本：nginx/1.18.0 - 服务器A位于DMZ区域，可以访问互联网，而服务器B在内部网络，无法直接上网，但能与服务器A通信。 2. 安装依赖软件 在服务器A上，首先需要安装必要的编译和开发工具，包括GCC、GCC-C++、autoconf、automake、zlib、zlib-devel、pcre、pcre-devel、openssl、openssl-devel、patch 和 git，以确保后续编译和安装Nginx及其第三方模块顺利进行。 3. 安装Nginx 下载Nginx的源码包并解压缩，然后进入源码目录，按照官方文档的指示进行编译。在这个过程中，需要将 ngx_http_proxy_connect_module 模块添加到Nginx的配置中，以便支持https的正向代理。这个模块是Nginx默认不包含的，因此需要从GitHub上克隆下来，并在编译Nginx时指定其位置。 4. 配置Nginx 编译完成后，需要编辑Nginx的配置文件（通常是 `/etc/nginx/nginx.conf` 或者 `/usr/local/nginx/conf/nginx.conf`），添加正向代理的相关配置。一个基本的代理配置段可能如下： ```nginx http { server { listen 80; # 监听HTTP端口 server_name proxy.example.com; # 代理服务器的域名或IP location / { proxy_pass http://$http_host$request_uri; # 代理到的目标地址 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } server { listen 443 ssl; # 监听HTTPS端口 server_name proxy.example.com; ssl_certificate /path/to/cert.pem; # SSL证书路径 ssl_certificate_key /path/to/key.pem; # SSL私钥路径 location / { proxy_pass https://$http_host$request_uri; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } } ``` 这些配置将使Nginx监听80和443端口，处理http和https请求。`proxy_pass`指令指定了目标服务器的URL，`proxy_set_header`用于设置请求头，以传递客户端的信息。 5. 启动和测试Nginx 完成配置后，重新加载或重启Nginx服务以应用新的配置。可以使用 `nginx -t` 命令检查配置文件的语法，无误后使用 `nginx -s reload` 或者 `/etc/init.d/nginx restart` 来应用更改。然后，服务器B可以通过配置指向服务器A的代理设置，以通过服务器A访问外部http和https服务。 通过以上步骤，就可以成功地在服务器A上配置一个支持http和https的Nginx正向代理，使服务器B能够通过代理访问互联网，同时保持其自身IP的隐蔽性。这种配置在内网安全管理和数据传输场景中非常常见，有助于提升网络安全性和可控性。