Nginx 用 SNI 分流传递客户端 IP 的 问题
SNI 分流后获取客户端 IP 一般通过 proxy_protocol 来实现,但分流后的某些程序不能识别 proxy_protocol 怎么办?比如我的 DoH 服务器要 IP 地址,但某木头马并不支持,我开启 proxy_protocol 这马就死了。
我们看代码片段,注意注释。
nginx.conf 主配置文件片段:
stream {
# 这里就是 SNI 识别,将域名映射成一个配置名
map $ssl_preread_server_name $backend_name {
我的域名.坑 web;
马.我的域名.坑 马;
# 域名都不匹配情况下的默认值
default web;
}
# 转发到 web 服务器
upstream web {
server 127.0.0.1:444;
}
# 转发到 马 前置服务器
upstream 马 {
server 127.0.0.1:446;
}
# 为 马 去除 proxy_protocol
server {
#nginx server 443 开启 proxy_protocol 后,分流后的所有服务也必须开启 proxy_protocol,否则会报错
listen 127.0.0.1:446 proxy_protocol so_keepalive=on;
proxy_protocol off; #然而,我们在这儿把 proxy_protocol 关闭掉,因为 马 不支持!这是关键
proxy_connect_timeout 300s;
proxy_timeout 300s;
proxy_pass 127.0.0.1:445; #这就是 马 实际吃草的地方
}
# 监听 443 并开启 ssl_preread
server {
listen 443 reuseport;
listen [::]:443 reuseport;
proxy_pass $backend_name;
ssl_preread on; #开启了分流
proxy_protocol on; #开启了 proxy_protocol
}
}
虚拟站点配置文件代码块,大致如下:
server
{
#nginx server 443 开启 proxy_protocol 后,分流后的所有服务也必须开启 proxy_protocol,否则会报错
listen 127.0.0.1:444 ssl http2 reuseport proxy_protocol;
#下面三行给反代的 DoH 服务器传递了客户端 IP
set_real_ip_from 127.0.0.1;
real_ip_recursive on;
real_ip_header proxy_protocol;
server_name 三达不溜.我的域名.坑 我的域名.坑;
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/我的域名.坑;
ssl_certificate /usr/local/nginx/conf/ssl/fullchain.cer;
ssl_certificate_key /usr/local/nginx/conf/ssl/我的域名.坑_ssl.key;
#反代 DoH 服务器
location /dns-query {
proxy_pass http://127.0.0.1:8053/dns-query;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr; #我要,真实的,IP!
}
差不多这样。 
来自 https://github.com/trojan-gfw/trojan/issues/433#issuecomment-692878138 的方法更加精妙:
stream {
log_format basic '$remote_addr - $remote_user [$time_local] '
'$protocol $status $bytes_sent $bytes_received '
'$session_time';
map $ssl_preread_server_name $backend {
trojan6.domain.com unix:/run/nginx-trojan-stream.sock;
trojan.domain.com unix:/run/nginx-trojan-stream.sock;
default 127.0.0.1:443;
}
server {
listen unix:/run/nginx-trojan-stream.sock proxy_protocol;
proxy_pass 127.0.0.1:8443;
}
server {
listen 0.0.0.0:443;
listen [::]:443;
proxy_pass $backend;
ssl_preread on;
proxy_protocol on;
}
}
http {
log_format combined '$proxy_protocol_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
server {
listen 127.0.0.1:80 proxy_protocol;
listen [::1]:443 ssl proxy_protocol;
...
}
}
http 的 log_format 中,原来的将原来的 $remote_addr 替换成 $proxy_protocol_addr 就成了。
stream 中的第一个 server 就是为了接收带 proxy_protocol 的 stream,然后发出不带 proxy_protocol 的 stream 给 trojan。
另外,我用的是在 Ubuntu 20.04上 的 Nginx v.1.18.0,来自官方 apt 源的。
引用本文,复制粘贴...
1 Trackback(s)
您必须 登录 才能发表评论.