Перенаправить https трафик на другой хост (nginx?)

Форум Администрирование Сервер, сеть, оборудование (Hardware)

1. Altez50 1 18.07.24 15:20 Сейчас в теме

Понадобилось часть трафика перенести на соседний хост, попробовал настроить nginx forward proxy.
Браузер возвращает 502, что не так, надо ли менять настройки на клиенте?

#nginx.conf

worker_processes 1;

events {
    worker_connections 1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile        on;
    keepalive_timeout  65;
 server {
        listen       4433 ssl;
        server_name  vsk.npksarmat.ru;

        ssl_certificate      c:\\nginx\\cert\\npksarmat.crt;
        ssl_certificate_key  c:\\nginx\\cert\\npksarmat.key;

        location / {
            proxy_pass https://servut.npksarmat.ru:443;
            proxy_ssl_server_name on;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

Показать

По теме из базы знаний

Hello world на metadata.js

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

2. starik-2005 3087 18.07.24 17:06 Сейчас в теме

https://habr.com/ru/companies/first/articles/683870/

3. Altez50 1 18.07.24 22:53 Сейчас в теме

(2) В sticky module не заходил, по общим чертам конфиг совпадает с эталоном в статье. Интересно, почему на поддомены *.npksarmat.ru запросы перенаправляются гладко, а на любой другой сайт - возвращают в лучшем случае 301. Может, дело в загадочном "для каждого запроса необходимо выполнить TLS-рукопожатие и поиск DNS", а может, в том, что поддомен vsk.npksarmat.ru не зарегистрирован и существует только в файлах hosts на клиенте и прокси-сервере.

Точно задача звучит так: обеспечить доступ к https ресурсу с хоста, (белый) айпи которого не занесен в белый список конечного сервера, используя подконтрольный хост из белого списка в качестве прокси.

Предположительно, нужен экскурс в матчасть, ведь не гонит же nginx зашифрованный трафик на upstream, а значит, должен получать 200 от примитивного конечного сервера, адрес которого есть у сервера DNS. Или нет?

Прикрепленные файлы:

nginx.conf

4. alxint 20.07.24 19:02 Сейчас в теме

(3)

белый список конечного сервера

А белый список на каком уровне организован в файрволе или на уровне http сервера, потому как прокси может втыкать реальный адрес клиента в заголовки, а конечный сервер рубить по этому адресу.

5. Altez50 1 21.07.24 20:57 Сейчас в теме

(4) проблема с пересылкой запроса возникает этапом раньше вне зависимости от того сервера, что блокирует запросы. К нему я думаю вернуться после разбора ошибки "bad gateway": не имея доступа к сканеру трафика на проксе не могу сказать, является ли 301 ответом собственно нгиникса или конечного сервера.
Нужно повторить на более подконтрольном прокси.

Оставьте свое сообщение

E-mail: