一个骚操作， nginx 只监听 1 个非标端口就实现 http 重定向 https

2023-05-24 20:16:34 +08:00

kingpo

家宽封了 80,443 ，服务只能带端口访问
设置 nginx 监听一个高位端口如 2222 指向 443 ，另一个 3333 指向 80
因为非标准端口，没法同时监听 80 和 443
访问带指向 443 的端口 2222 时，如果开了强制 ssl ，只能 https 访问，http 访问时就会报 400 错，因为 http 是 3333 端口监听的，这样在访问时输入就很麻烦了。

怎么才能实现在一个端口访问，http 也能重定向呢，找了几天发现方法
有点骚，但能实现 nginx 只监听 1 个非标端口 http 重定向 https
本质是修改利用 497 错误码重定向指向 https 的地址

客户端请求未使用 HTTPS 协议，但如果您已启用强制 SSL ，并且客户端尝试使用 HTTP 协议访问您的网站，则会收到 HTTP 497 错误。我们这时候就修改 497 的页面指向我们 https 即可

server {
  listen      2222 ssl;
  server_name your.site.tld;
  ssl         on;
  ...
  error_page  497 https://$host:2222$request_uri;
  ...
}

2804 次点击

所在节点

分享发现

22 条回复

rekulas

2023-05-24 22:45:51 +08:00

我都没理解到你的回路，http 访问报错判断下端口 301 不就行了？是不是想复杂了

eudemonwind

2023-05-24 22:54:03 +08:00

扫到你开了 http 直接封宽带

kingpo

2023-05-24 23:03:23 +08:00

@rekulas #1 非标准端口你 xxx.com:2222 只能监听 443 ，这时候不能同时监听 80 ，你这时候 http://xxx.com:2222 访问是报 400 ，301 也还是报 400 ；你 80 是通过 3333 ，http://xxx.com:3333 这个才可以 301 过去 https//:xxx.com:2222 ，我默认要访问的是 xxx.com:2222 ，只记一个端口就行

kingpo

2023-05-24 23:04:29 +08:00

@eudemonwind #2 没那么严重吧，翻了之前的帖子好多老哥都开端口访问的

kingpo

2023-05-24 23:07:54 +08:00

这里实现的是 1 个端口直接访问 http 和 https 的效果，正常是要两个端口

kingpo

2023-05-24 23:08:10 +08:00

@rekulas #1 这里实现的是 1 个端口直接访问 http 和 https 的效果，正常是要两个端口

kaedeair

2023-05-24 23:26:48 +08:00

这个用 traefik 写两条路由，一条 http ，一条 https ，用相同的 entrypoint ，然后在 http 的路由加个 RedirectSchema 的中间件很容易实现，不必死死抱着 nginx

kingpo

2023-05-24 23:36:09 +08:00

@kaedeair #7 主要是为了方便申请 let's encrypt 证书

kaedeair

2023-05-24 23:38:12 +08:00

@kingpo #8 traefik 同样支持 acme 自动签发

rekulas

2023-05-24 23:45:34 +08:00

@kingpo 明白你意思了这种模式我之前也用过

rekulas

2023-05-24 23:47:14 +08:00

@kingpo 其实可以把你的描述精简下，一句话：我是如何实现 http 协议访问 https 端口的时候自动重定向的 🤣

olaloong

2023-05-24 23:57:18 +08:00

这样也行啊
我是套了层 haproxy 来端口复用，rdp ssh http https 全在一个端口上

ochatokori

2023-05-25 00:27:41 +08:00

@rekulas #11 看完你这条我终于看懂楼主想说什么了

Tink

2023-05-25 08:44:26 +08:00

我理解，就算是没封 80 和 443 ，你 nginx 也得开两个端口呀，只监听 443 不是也不能跳吗

chronos

2023-05-25 09:12:11 +08:00

@Tink 他这个方案就是只开放一个 https 的端口，当 http 协议访问 https 的端口进来时返回 497 状态码告诉浏览器要使用 https 协议来访问。

netnr

2023-05-25 09:13:11 +08:00

我来当大聪明，以下都能正常访问
http://your.site.tld:2222
https://your.site.tld:2222

https 的 2222 端口是正常配置的，http 也能访问是因为触发了 https 的 497 错误码，利用这个错误码来访问

以上有个前提是 80 443 都被封了

Imr

2023-05-25 09:20:36 +08:00

nginx 自己就有更优雅的解决办法
用 stream 里的 ssl_preread ，类似下面配置（没有验证）

stream {
upstream http {
server 127.0.0.1:80;
}
upstream https {
server 127.0.0.1:443;
}

map $ssl_preread_protocol $upstream {
default https;
"" http;
}

server {
listen 2222;
listen [::]:2222;
proxy_pass $upstream;
ssl_preread on;
}
}

kingpo

2023-05-25 09:21:58 +08:00

@netnr #16 对的

yunyuyuan

2023-05-25 10:16:26 +08:00

贴一下我的，直连 /zerotier 通用配置，好处是打洞的服务也可以用域名+https 访问：
server {
listen [::]:5678 ssl;
listen 443 ssl;
listen 80;
server_name foo.example.com foo-zto.example.com;
error_page 497 https://$host:5678$request_uri;

set $whole_url "$scheme://$host";
if ($whole_url ~ ^http://[^.]*-zto) {
return https://$host$request_uri;
}
}

* 直连用 http://foo.example.com:5678 ，重定向到 https://foo.example.com:5678 。

* zerotier 用 http://foo-zto.example.com ，可以重定向到 https://foo-zto.example.com 。foo-zto.example.com 解析地址是 vpn 组网的地址

caiqichang

2023-05-25 11:04:49 +08:00

说的好，我选择用 stream_ssl_preread 模块，同 #17

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/942682

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.