python搭建https代理服务器_使用NGINX作为HTTPS正向代理服务器

最新推荐文章于 2024-12-12 09:42:31 发布
最新推荐文章于 2024-12-12 09:42:31 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: python搭建https代理服务器
本文介绍了如何使用NGINX作为正向代理服务器处理HTTPS流量,包括HTTP CONNECT隧道方法和NGINX stream解决方案。重点讲解了两者的工作原理、配置、使用场景以及可能遇到的问题,如客户端SNI字段的必要性。
摘要由CSDN通过智能技术生成

NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂,而如何代理加密的HTTPS流量是正向代理需要解决的主要问题。本文将介绍利用NGINX来正向代理HTTPS流量两种方案,及其使用场景和主要问题。

HTTP/HTTPS正向代理的分类

简单介绍下正向代理的分类作为理解下文的背景知识:

按客户端有无感知的分类

普通代理:在客户端需要在浏览器中或者系统环境变量手动设置代理的地址和端口。如squid,在客户端指定squid服务器IP和端口3128。

透明代理:客户端不需要做任何代理设置,“代理”这个角色对于客户端是透明的。如企业网络链路中的Web Gateway设备。

按代理是否解密HTTPS的分类

隧道代理 :也就是透传代理。代理服务器只是在TCP协议上透传HTTPS流量,对于其代理的流量的具体内容不解密不感知。客户端和其访问的目的服务器做直接TLS/SSL交互。本文中讨论的NGINX代理方式属于这种模式。

中间人(MITM, Man-in-the-Middle)代理:代理服务器解密HTTPS流量,对客户端利用自签名证书完成TLS/SSL握手,对目的服务器端完成正常TLS交互。在客户端-代理-服务器的链路中建立两段TLS/SSL会话。如Charles,简单原理描述可以参考文章。

注:这种情况客户端在TLS握手阶段实际上是拿到的代理服务器自己的自签名证书,证书链的验证默认不成功,需要在客户端信任代理自签证书的Root CA证书。所以过程中是客户端有感的。如果要做成无感的透明代理,需要向客户端推送自建的Root CA证书,在企业内部环境下是可实现的。

为什么正向代理处理HTTPS流量需要特殊处理?

作为反向代理时,代理服务器通常终结 (terminate) HTTPS加密流量,再转发给后端实例。HTTPS流量的加解密和认证过程发生在客户端和反向代理服务器之间。

而作为正向代理在处理客户端发过来的流量时,HTTP加密封装在了TLS/SSL中,代理服务器无法看到客户端请求URL中想要访问的域名,如下图。所以代理HTTPS流量,相比于HTTP,需要做一些特殊处理。

NGINX的解决方案

根据前文中的分类方式,NGINX解决HTTPS代理的方式都属于透传(隧道)模式,即不解密不感知上层流量。具体的方式有如下7层和4层的两类解决方案。

HTTP CONNECT隧道 (7层解决方案)

历史背景

早在1998年,也就是TLS还没有正式诞生的SSL时代,主导SSL协议的Netscape公司就提出了关于利用web代理来tunneling SSL流量的INTERNET-DRAFT。其核心思想就是利用HTTP CONNECT请求在客户端和代理之间建立一个HTTP CONNECT Tunnel,在CONNECT请求中需要指定客户端需要访问的目的主机和端口。Draft中的原图如下:

整个过程可以参考HTTP权威指南中的图:

客户端给代理服务器发送HTTP CONNECT请求。

代理服务器利用HTTP CONNECT请求中的主机和端口与目的服务器建立TCP连接。

代理服务器给客户端返回HTTP 200响应。

客户端和代理服务器建立起HTTP CONNECT隧道,HTTPS流量到达代理服务器后,直接通过TCP透传给远端目的服务器。代理服务器的角色是透传HTTPS流量,并不需要解密HTTPS。

NGINX ngx_http_proxy_connect_module模块

NGINX作为反向代理服务器,官方一直没有支持HTTP CONNECT方法。但是基于NGINX的模块化、可扩展性好的特性,阿里的@chobits提供了ngx_http_proxy_connect_module模块,来支持HTTP CONNECT方法,从而让NGINX可以扩展为正向代理。

环境搭建

以CentOS 7的环境为例。

1) 安装

对于新安装的环境,参考正常的安装步骤和安装这个模块的步骤(https://github.com/chobits/ngx_http_proxy_connect_module)),把对应版本的patch打上之后,在configure的时候加上参数--add-module=/path/to/ngx_http_proxy_connect_module,示例如下:

./configure \

--user=www \

--group=www \

--prefix=/usr/local/nginx \

--with-http_ssl_module \

--with-http_stub_status_module \

--with-http_realip_module \

--with-threads \

--add-module=/root/src/ngx_http_proxy_connect_module

最低0.47元/天 解锁文章
使用NGINX作为HTTPS正向代理服务器
SmallCatBaby的博客
06-24 4676
NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂,而如何代理加密的HTTPS流量是正向代理需要解决的主要问题。本文将介绍利用NGINX正向代理HTTPS流量两种方案,及其使用场景和主要问题。 HTTP/HTTPS正向代理的分类 简单介绍下正向代理的分类作为理解下文的背景知识: 按客户端有无...
使用 nginx 搭建代理服务器正向代理 https 网站)指南
热门推荐
墨鸦的博客
08-14 3万+
使用 nginx 搭建代理服务器正向代理 https 网站)指南
nginx 正向代理 https
wangjun5159的专栏
03-27 1348
因为网络环境受限,应用服务器无法直接访问外网,需要前置机上中转一下,这种情况可在应用服务器修改/etc/hosts文件指向前置机,在前置机上的nginx设置四层代理,从而出站。
Python 命令搭建 Https服务器
最新发布
一杯咖啡的渗透记忆
12-12 658
使用Python命令行搭建HTTPS服务器,您可以使用http.server模块(在Python 3.x中可用),并结合ssl模块来创建安全的HTTPS连接。
nginx配置正向代理支持HTTPS
weixin_30795127的博客
11-24 2025
nginx正向代理的时候,通过代理访问https的网站会失败,而失败的原因是客户端同nginx代理服务器之间建立连接失败,并非nginx不能将https的请求转发出去。因此要解决的问题就是客户端如何同nginx代理服务器之间建立起连接。有了这个思路之后,就可以很简单的解决问题。我们可以配置两个SERVER节点,一个处理HTTP转发,另一个处理HTTPS转发,而客户端都通过HTTP来访问代理,通过...
使用 Nginx 搭建代理服务器正向代理 HTTPS 网站)指南
小蜗牛的珍贵百宝箱
09-30 9854
本文介绍了如何使用 Nginx 搭建正向代理服务器,支持 HTTP 和 HTTPS 网站代理,并提供了详细的代码和配置示例。通过本文的学习,您可以掌握搭建正向代理的基础知识,并能在实际项目中应用。代理服务器是一种非常强大的工具,能够帮助我们隐藏客户端信息、绕过 IP 限制等。合理的配置和优化可以提升代理服务器的性能,从而满足实际应用中的需求。
nginx配置正向代理支持https
x734400146的专栏
12-09 1263
nginx正向代理 https
Nginx反向代理与负载均衡
Blog of Stevenux
01-11 2528
Nginx反向代理与负载均衡一. Nginx 反向代理1.1 反向代理介绍1.2 Nginx 反向代理1.2.1 Nginx 反向代理生产环境典型架构1.2.2 反向代理配置参数1.2.3 Nginx 反向代理示例将 http 请求代理到单台后端服务器代理时指定 location反向代理的缓存功能非缓存场景压力测试在代理服务器配置缓存访问并验证缓存开启缓存后压力测试加头部报文信息验证头部信息1.2...
使用 mitmproxy + python 做拦截代理
墨鱼菜鸡
07-11 3929
From:https://blog.wolfogre.com/posts/usage-of-mitmproxy https://www.cnblogs.com/H4ck3R-XiX/p/12624072.htmlhttp://www.cnblogs.com/grandlulu/p/9525417.html mitmProxy 介绍:https:/...
Nginx基础之Proxy代理/Up stream负载均衡/会话保持
weixin_43136091的博客
05-21 922
8、nginx Proxy 代理 1、代理原理 反向代理产生的背景: 在计算机世界里,由于单个服务器的处理客户端(用户)请求能力有一个极限,当用户的接入请求蜂拥而入时,会造成服务器忙不过来的局面,可以使用多个服务器来共同分担成千上万的用户请求,这些服务器提供相同的服务,对于用户来说,根本感觉不到任何差别。 反向代理服务的实现: 需要有一个负载均衡设备(即反向代理服务器)来分发用户请求,将用户请求分发到空闲的服务器上。 服务器返回自己的服务到负载均衡设备。 负载均衡设备将服务器服务返回用户。
Python服务器管理专家:SimpleHTTPServer反向代理与负载均衡技术整合
[Python服务器管理专家:SimpleHTTPServer反向代理与负载均衡技术整合](https://cdn.educba.com/academy/wp-content/uploads/2023/08/Python-3-HTTP-Server-With-Icon.jpg) # 1. HTTP代理与负载均衡基础 ## 1.1 ...
ngixn正向https代理模块(透明代理)
08-10
ngxin本身并不支持https正向代理,对于诸如baidu.com这样的https请求,nginx默认并不支持,不过我们可以借助第三方模块来实现。
Nginx正向代理http和https.md
04-07
Nginx正向代理配置
nginx正向代理https和非80端口配置文档.pdf
12-31
nginx代理功能十分强大,经常用来做反向代理,但有的实际工作环境需要正向代理,经安装发现网上常用的方法有两点问题,1.并不支持https代理,2需要访问的网址一但加上非80端口就会403报错。 后经反复测试,已找到解决以上两个问题方法,1安装ngx_http_proxy_connect_module 模块即可支持https代理。2安装lua-nginx-module模块用来解决非80端口代理。 附件包含了全部安装过程,包括nginx.conf lua的配置,适合新手小白按步骤操作。 注意(附件中nua的版本我测试过nginx1.10.3可正常安装,nginx1.12.2报错不兼容。)
nginx https透明代理_使用NGINX作为HTTPS正向代理服务器
weixin_39855869的博客
11-22 1462
NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂,而如何代理加密的HTTPS流量是正向代理需要解决的主要问题。本文将介绍利用NGINX正向代理HTTPS流量两种方案,及其使用场景和主要问题。HTTP/HTTPS正向代理的分类简单介绍下正向代理的分类作为理解下文的背景知识:按客户端有无感知的分类普通代理:在客户端需要在浏览器中或者系...
nginx--正向代理、反向代理及负载均衡(图解+配置)
m0_67393413的博客
07-29 2352
先来看张图~【再举个栗子】某同学喜欢面向搜索引擎编程,想通过百度搜索引擎查找一些学习资料,但是有些网站直接访问可能不太安全,会暴露自己的IP,同学比较苦恼,想着怎样才能使用百度搜索自己想要的学习资料,又不会暴露自己的IP在网站上呢?这时我告诉该同学,我呢手上刚好有一台代理服务器,这台代理服务器通过nginx配置了正向代理转发http和https请求,你呢,只需要在自己的Windows本地电脑的网关配置一下这台代理服务器的IP和端口号,就能正常通过代理服务器访问到百度并搜索相关的学习资料了,~代理。...
NGINX的日常使用之如何编译安装并且配置正向代理
weixin_48566352的博客
09-07 1592
Nginx的编译 正向代理的理解和配置使用
nginx正向代理https网站
一个致力于开源代码学习、分析和交流的博客
02-23 7187
本文描述了如何通过nginx代理来实现内网服务器的yum访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值