通过Nginx的正向代理审计监控内网用户的外网访问记录
正向代理
一个位于客户端和目标服务器之间的Nginx正向代理服务器,客户端向Nginx正向代理发送一个请求并指定目标服务器,然后代理向目标服务器转交请求并将获得的内容返回给客户端及本地代理服务器缓存
适用场景:用于解决内网服务器通过代理服务器访问外网监控内网终端的外网访问记录代理端缓存外网访问的响应结构,加速外网访问
正向代理又细分为http、https流量的透明代理和非透明代理透明代理指利用内网dns将待访问的域名解析到Nginx的透明代理,终端用户利用内网dns后不需要进行任何代理服务器设置非透明代理指终端用户需要设置代理服务器信息
如何代理加密的HTTPS流量是正向代理需要解决的主要问题,当前主要的两种方式:七层解决:HTTPCONNECT透传(隧道)模式,即不解密不感知上层流量四层解决:NGINXStreamhttp流量
1、透明代理,利用本机hosts或DNS解析待访问的目标域名到代理服务器IpNginx透明正向代理http流量主要配置server{resolver114。114。114。114;listen80;accesslogvarlognginxaccess。80。logmain;location{proxypasshttp:httphostrequesturi;proxysetheaderHOSThttphost;proxybuffers2564k;proxymaxtempfilesize0k;proxyconnecttimeout30;proxysendtimeout60;proxyreadtimeout60;proxynextupstreamerrortimeoutinvalidheaderhttp502;}}
2、非透明代理,需在客户终端设置代理服务器信息Nginx非透明正向代理http流量主要配置server{resolver114。114。114。114;listen1080;location{proxypasshttp:httphostrequesturi;proxysetheaderHOSThttphost;proxybuffers2564k;proxymaxtempfilesize0k;proxyconnecttimeout30;proxysendtimeout60;proxyreadtimeout60;proxynextupstreamerrortimeoutinvalidheaderhttp502;}}https流量
1、HTTPCONNECT隧道方式(非透明代理)需要ngxhttpproxyconnectmodule模块支持;客户端需要指定https代理服务器yumyinstallgccczlibdevelopenssldevel。x8664pcredevelgddevelpatchwgethttp:nginx。orgdownloadnginx1。20。1。tar。gztarxfnginx1。20。1。tar。gzcdnginx1。20。1给nginx打补丁,需要根据不同的nginx版本选择对应的补丁cdrootsrcgitclonehttps:github。comchobitsngxhttpproxyconnectmodulecdnginx1。20。1patchp1rootsrcngxhttpproxyconnectmodulepatchproxyconnectrewrite1018。patch。configureprefixetcnginxsbinpathusrsbinnginxmodulespathusrlib64nginxmodulesconfpathetcnginxnginx。conferrorlogpathvarlognginxerror。loghttplogpathvarlognginxaccess。logpidpathvarrunnginx。pidlockpathvarrunnginx。lockhttpclientbodytemppathvarcachenginxclienttemphttpproxytemppathvarcachenginxproxytemphttpfastcgitemppathvarcachenginxfastcgitemphttpuwsgitemppathvarcachenginxuwsgitemphttpscgitemppathvarcachenginxscgitempusernginxgroupnginxwithcompatwithfileaiowiththreadswithhttpadditionmodulewithhttpauthrequestmodulewithhttpdavmodulewithhttpflvmodulewithhttpgunzipmodulewithhttpgzipstaticmodulewithhttpmp4modulewithhttprandomindexmodulewithhttprealipmodulewithhttpsecurelinkmodulewithhttpslicemodulewithhttpsslmodulewithhttpstubstatusmodulewithhttpsubmodulewithhttpv2modulewithmailwithmailsslmodulewithstreamwithstreamrealipmodulewithstreamsslmodulewithstreamsslprereadmodulewithccoptO2gpipeWallWp,DFORTIFYSOURCE2fexceptionsfstackprotectorstrongparamsspbuffersize4grecordgccswitchesm64mtunegenericfPICwithldoptWl,z,relroWl,z,nowpieaddmodulerootsrcngxhttpproxyconnectmodulemakemakeinstallmkdirpvarcachenginxclienttempuseraddMrssbinnologinnginxnginxserver配置server{listen8443;resolver114。114。114。114;accesslogvarlognginxaccess。8443。logmain;proxyconnect;proxyconnectallow443;proxyconnectconnecttimeout10s;proxyconnectreadtimeout10s;proxyconnectsendtimeout10s;location{proxypasshttp:host;proxysetheaderHosthost;}}linux命令行设置http代理服务器exporthttpproxy192。168。31。68:1080exporthttpproxy192。168。31。68:8443通过curl测试代理服务器是否正常curlproxy192。168。31。68:8443https:www。baidu。comsvodevnullcurlhttp:192。168。31。17:1083svodevnull
2、NGINXStream方式(HTTPS流量的透明正向代理)需要withstream,withstreamsslprereadmodule、withstreamsslmodule模块的支持;利用ngxstreamsslprereadmodule模块,在不解密的情况下拿到HTTPS流量待访问目标域名(利用TLSSSL握手的第一个ClientHello报文中的扩展地址SNI(ServerNameIndication)来获取);如果客户端没有携带SNI字段,会造成代理服务器无法获取待访问目标服务域名,导致访问不成功;因此要求所有客户端都需要在TLSSSL握手中带上SNI字段!!将待访问的所有域名利用内网dns或hosts解析到代理服务器;客户端侧则不需要指定代理服务器信息stream{resolver114。114。114。114;logformatmainremoteaddr〔timelocal〕protocolstatusbytessentbytesreceivedsessiontimeupstreamaddrupstreambytessentupstreambytesreceivedupstreamconnecttimeremoteaddrremoteportserveraddrserverport;accesslogvarlognginxaccess。443。logmain;server{listen443;sslprereadon;proxyconnecttimeout5s;proxypasssslprereadservername:serverport;}}命令行测试或通过浏览器测试将要访问的目标域名通过本机hosts或内网dns解析到代理服务器opensslsclientconnectwww。baidu。com:443servernamewww。baidu。com
电熨斗做CE认证按照哪一类标准来做的CE的3种形式及价格:1。最常规的CE认证,具有满足进入欧洲市场最低门槛的权利,清关,和加贴CE标示的效用。2。国内CNAS实验室出具的CE认证,除了具有以上的效用……
全新蜕变的飞利浦VTR92002。0版即将强势发布太平之世无所尚,所最尚者工而已;太平之世无所尊,所尊贵者工之创新器而已。康有为作为全球首款的专业智能录音笔,飞利浦VTR92001。0版一经上市,强硬的实力表现能力……
天玑800在不同模式下的表现对比测试(荣耀30青春版)用了好几天的时间做了一下测试,毕竟荣耀系列这么多年了,不知道算不算是第一次使用联发科的CPU,至少5G系列手机中第一次使用,并且还支持90Hz高刷,在测试起来就又多了一个选项,……
百元智能指纹抽屉锁,保护隐私保护物品安全百元智能指纹抽屉锁,保护隐私保护物品安全一些私人物品不想被室友看到,好吃的零食想要独享,珍贵的物品怕被损坏等等。但宿舍内的抽屉柜一般都是没办法上锁的,尤其自行安装门锁后还……
我们不一样,全面超越牧马人,达尔优A970上手体验创作立场声明:邻居新入手的游戏鼠标试玩前言:经常会在头条上面见到有人惊呼,80年代底、90年代头就有喇叭裤、透视装、迷你裙。说到底,这仅仅是地区差异而已,88年我就……
想在拼多多上买部手机可行吗?如果是临时用下,过渡期,未尝不可!可行,比真的要便宜。在拼多多上买手机靠谱不?人们总是认为,在拼多多上的假货特别多,为什么呢?因为价格太便宜了。我不否认拼多多上有假……
哪些壁纸让你一眼就放不下?值得永久珍藏的唯美壁纸!绿色养眼,清静世界,风光无限,异域风情,一见倾心。1、绿色养眼2、清静世界3、风光无限4、异域风情5、一见倾心……
凯迪拉克投诉分析,车机故障频繁爆发上汽通用凯迪拉克作为被广大消费者所喜爱的知名豪华车企,自然保有很多钟爱粉。但作为二线豪华品牌的凯迪拉克,车主在日常使用过程中被哪些问题所困扰呢?我们结合着汽车门网17月份的投诉……
东宏股份缺乏战略引领,难以充分享受行业集中之势选股理由:基础设施投资托底经济,塑料管道有望需求阶段性提升,叠加优势企业份额提升证券代码:603856评级:BB本文分为六部分:一、主营业务;二、公司治理;三、财务……
3999起!TCLXESS智屏正式发布TCL今天在深圳正式发布了XESS智屏产品,其配备了55英寸4K分辨率屏幕,开机无广告,创新提供了非常多与手机交互的特色功能。现场演示了以下几个Demo:1、未开机状态下……
国外中年大叔,开箱国产8寸掌机电脑,再也不用台式机了国外中年游戏大叔,收到国产PC游戏掌机,GPDWINMax,表示很开心,在社交网站上分享自己的开箱过程。可以看到海外WINMax收到WINMax还是很开心的,现在疫情期间……
谁更懂很会过的90后?星途TX超能四驱版对比逍客都说现在的年轻人个性张扬且对品质要求极高,购物看似云淡风轻,殊不知这些崛起的主力军却是个十足的钻研型消费大师!对极致质价比的追求十分狂热。拿汽车来说,一辆车从代步到成为出……