nginx 正向代理 ngx_http_proxy_connect_module 中参数 proxy_connect_allow

2023-06-02 07:57:28 +08:00
 hanssx

client->nginx proxy->server

一直不确定这个参数 proxy_connect_allow 配置的端口的意义

        listen       9000;
        
        
        # forward proxy for CONNECT request
        proxy_connect;
        proxy_connect_allow            80 443 563;
        proxy_connect_connect_timeout  10s;
        proxy_connect_data_timeout     10s;       
     }

看文档说得是用于 connect 连接,允许进行 CONNECT 请求的端口,也就是说是 client 去连接 nginx proxy 的,nginx proxy 上面要开放的 INPUT 向的端口?

实际操作是,代理使用得是 IP:9000 ,netstat 显示也是 9000 开放了端口,并没有看到 80 443 563 的 LISTEN 状态。

那么这个端口到底是限定的哪个位置的入向还是出向端口呢?难不成是 nginx proxy 连接 server 所用端口?感觉不是吧,不符合文档里面说的。

1258 次点击
所在节点    NGINX
5 条回复
lovelylain
2023-06-02 08:05:56 +08:00
目标地址的端口吧,connect 是连接型代理,可以代理任意 tcp 连接,有时候想只允许代理 80 443 等 web 端口。
hanssx
2023-06-02 08:32:13 +08:00
@lovelylain 那感觉文档说得有歧义。。

引用文档:
This directive specifies a list of port numbers or ranges to which the proxy CONNECT method may connect.
By default, only the default https port (443) and the default snews port (563) are enabled.
Using this directive will override this default and allow connections to the listed ports only.

The value all will allow all ports to proxy.

The value port will allow specified port to proxy.

The value port-range will allow specified range of port to proxy, for example:


引用里面的一句话:the proxy CONNECT method may connect.

CONNECT 其实只在 client->nginx proxy 这个环节吧? nginx proxy->server 应该是 tcp 连接,那这里面所说的 CONNECT 方法可能连接的端口,那不就是表明 nginx proxy 嘛 /捂脸

---------------------
另外,话说有办法限制 nginx proxy 代理出网的端口吗,也就是限制 OUTPUT --sport=3000
adoal
2023-06-02 11:03:57 +08:00
不要望文生义。你先搞懂 HTTP CONNECT method 的用法再来看这个文档就不会有疑问了。

大写的 CONNECT ,这是一个单独的 HTTP method ,跟 GET/POST 对等的,只是专用于代理罢了。你引用“the proxy CONNECT method may connect”并自我发挥“CONNECT 其实只在 client->nginx proxy 这个环节吧? nginx proxy->server 应该是 tcp 连接”实在是理解歪了。

这句话的意思是是通过 CONNECT 方法可以去连的端口。从 cient->nginx proxy 这个环节,操作是发一个 CONNECT 命令,指导 nginx 建立 tcp 连接去连 server 的目标端口。在逻辑上这是一个整体操作。你非要把“CONNECT 方法可能连接的端口”理解为 ient->nginx proxy ……这个逻辑就不对,是 cient->nginx proxy 已经建立好 tcp 连接了,才会按 HTTP 协议的格式发送 CONNECT 请求,所以 cient 能“连”( connect ,小写,作为一个通用英语单词) nginx proxy 什么端口,跟“CONNECT”(大写,特指 HTTP CONNECT method )请求根本就是两码事。
adoal
2023-06-02 11:05:30 +08:00
文档并没有歧义。你对涉及到的背景知识了解不够罢了,另外也可能英文阅读能力有待提高。
hanssx
2023-06-06 22:13:38 +08:00
@adoal 确实理解有误+英文理解有误,引用“CONNECT 命令,指导 nginx 建立 tcp 连接”,这个受教了,应该是从 7 层的 Host 提取出来去连接的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/945087

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX