如何用 Nginx 配置透明 HTTP 和 HTTPS 代理

作为 web server nginx 当然是可以处理 ssl 的，但作为 proxy 则是不行的。

因为 nginx 不支持 CONNECT，收到 “CONNECT /:443 HTTP/11” 后会报一个包含“client sent invalid request while reading client request line,” 的错误。

因为 CONNECT 是正向代理的特性，据说也没有计划支持。

如果觉得 squid 比较难上手，也不够轻量，可以试试类似的。

以下都支持 http/https，

trafficserver http://trafficserverapacheorg/docs/v2/admin/introhtm

tinyproxy https://banucom/tinyproxy/

基于 Python 的：

exaproxy http://codegooglecom/p/exaproxy/

mitmproxy http://mitmproxyorg/

tinyhttpproxy http://wwwoki-oskjp/esc/python/proxy/ 就一个文件，06年以后就没有更新了

还有跨平台且有GUI的 Charles http://wwwcharlesproxycom/

Charles 实在是太棒了！但还是不如fiddler方便，前者还是更侧重 抓包而不是代理，还是 fiddler 更强大些。如果有条件还是在 windows 上开 fiddler 的代理吧。

squid是所有服务里面最简单的我觉得

以RHEL7为例，它分成了正向代理和反向代理，正向代理里又分“标准正向代理”，“ACL访问控制”以及“透明正向代理”。下面是标准正向代理

163 正向代理

1631 标准正向代理

Squid服务程序软件包在正确安装并启动后默认就已经可以为用户提供标准正向代理模式服务了，而不需要单独再去修改配置文件或者其他操作，咱们可以立即在Windows7系统的客户端主机上面打开任意一款浏览器，然后点击Internet选项标签，如图16-4所示：

[root@linuxprobe ~]# systemctl restart squid

[root@linuxprobe ~]# systemctl enable squid

ln -s '/usr/lib/systemd/system/squidservice' '/etc/systemd/system/multi-usertargetwants/squidservice'

用户要想使用Squid服务程序提供的标准正向代理模式服务就必须在浏览器中填写服务器的IP地址以及端口号信息，因此咱们还需要依次点击连接标签后点击局域网设置选项，如图16-5与图16-6所示填写服务器信息后保存退出配置向导。

用户只需要在浏览器中简单的填写配置信息就可以开始享用Squid服务程序提供的代理服务了，此时作为一个网卡为仅主机模式（Hostonly）的虚拟机，开始也奇迹般的能够上网浏览了，这一切都是托代理服务器转发的功劳哦~

如此公开而没有密码验证的代理服务终归觉得不放心，万一有其他人也来“蹭网”咱们的代理服务怎么办呢？Squid服务程序默认的会占用3128、3401与4827等端口号，咱们可以将默认占用的端口号修改成其他值，这样应该能起到一定的保护作用吧~同学们都知道在Linux系统配置服务程序就是在修改该服务的配置文件，因此直接在/etc目录中找到和squid服务程序同名目录中的配置文件，把其中http_port参数后面原有3128修改为10000，这样即是将Squid服务程序的代理服务端口修改成了新值，当然最后不要忘记再重启下服务程序哦~：

[root@linuxprobe ~]# vim /etc/squid/squidconf

………………省略部分输出信息………………

45 #

46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

47 #

48

49 # Example rule allowing access from your local networks

50 # Adapt localnet in the ACL section to list your (internal) IP networks

51 # from where browsing should be allowed

52 http_access allow localnet

53 http_access allow localhost

54

55 # And finally deny all other access to this proxy

56 http_access deny all

57

58 # Squid normally listens to port 3128

59 http_port 10000

60

http_port 10000

………………省略部分输出信息………………

[root@linuxprobe ~]# systemctl restart squid

[root@linuxprobe ~]# systemctl enable squid

ln -s '/usr/lib/systemd/system/squidservice' '/etc/systemd/system/multi-usertargetwants/squidservice'

同学们有没有突然觉得这一幕似曾相识？在前面的第十章1053小节咱们学习过基于端口号来部署httpd服务程序的虚拟主机功能，当时在编辑完配置文件后重启服务程序时被直接提示报错了，虽然现在重启服务程序并没有直接报错，但其实客户并不能使用代理服务呢，SElinux安全子系统认为Squid服务程序使用3128端口号是理所应当的，默认策略规则中也是允许的，但现在却在尝试使用新的10000端口号，这是原本并不属于Squid服务程序应该使用的系统资源，因此咱们需要手动把新的端口号添加到squid服务程序在SElinux域的允许列表中即可：

[root@linuxprobe ~]#  semanage port -l | grep -w -i squid_port_t

squid_port_t                   tcp      3128, 3401, 4827

squid_port_t                   udp      3401, 4827

[root@linuxprobe ~]# semanage port -a -t squid_port_t -p tcp 10000

[root@linuxprobe ~]# semanage port -l | grep -w -i squid_port_t

squid_port_t                   tcp      10000, 3128, 3401, 4827

squid_port_t                   udp      3401, 4827

更多的图文信息以及透明代理方式的实验你可以看下网页链接，讲的非常详细，相信能解决你的问题

处理方法:

1实现IHttpModule接口 将Response Headers 相应信息移除

2在webconfig的<httpProtocol>的 <customHeaders>子节点中添加 <remove name="X-Powered-By"/>节点

public class HeaderFilterHttpModule: IHttpModule

{

public void Init(HttpApplication context)

{

contextPreSendRequestHeaders += OnPreSendRequestHeaders;

}

public void Dispose()

{ }

void OnPreSendRequestHeaders(object sender, SystemEventArgs e)

{

//过滤掉 Response Headers 的banner ,以隐藏服务器和平台信息

HttpContextCurrentResponseHeadersRemove("Server");

HttpContextCurrentResponseHeadersRemove("X-AspNet-Version");

HttpContextCurrentResponseHeadersRemove("X-Frame-Options");

}

}

webconfig:

<modules>

<!--改变您的HTTP服务器的缺省banner配置-->

<add name="HeaderFilterModule" type="JoinTopVRVEISBLLHeaderFilterHttpModule,JoinTopVRVEISBLL"/>

</modules>

<httpProtocol>

<customHeaders>

<remove name="X-Powered-By"/>

</customHeaders>

</httpProtocol>

当我们执行下面的hellopy时，使用的flask自带的服务器，完成了web服务的启动。在生产环境中，flask自带的服务器，无法满足性能要求，我们这里采用Gunicorn做wsgi容器，来部署flask程序。Gunicorn（绿色独角兽）是一个Python WSGI的HTTP服务器。从Ruby的独角兽（Unicorn ）项目移植。该Gunicorn服务器与各种Web框架兼容，实现非常简单，轻量级的资源消耗。Gunicorn直接用命令启动，不需要编写配置文件，相对uWSGI要容易很多。

区分几个概念 ：

WSGI：全称是Web Server Gateway Interface（web服务器网关接口），它是一种规范，它是web服务器和web应用程序之间的接口。它的作用就像是桥梁，连接在web服务器和web应用框架之间。

uwsgi：是一种传输协议，用于定义传输信息的类型。

uWSGI：是实现了uwsgi协议WSGI的web服务器。

我们的部署方式： nginx + gunicorn + flask

web开发中，部署方式大致类似。简单来说，前端代理使用Nginx主要是为了实现分流、转发、负载均衡，以及分担服务器的压力。Nginx部署简单，内存消耗少，成本低。Nginx既可以做正向代理，也可以做反向代理。

正向代理 ：请求经过代理服务器从局域网发出，然后到达互联网上的服务器。

特点 ：服务端并不知道真正的客户端是谁。

反向代理 ：请求从互联网发出，先进入代理服务器，再转发给局域网内的服务器。

特点 ：客户端并不知道真正的服务端是谁。

区别 ：正向代理的对象是客户端。反向代理的对象是服务端。

查看命令行选项 ： 安装gunicorn成功后，通过命令行的方式可以查看gunicorn的使用信息。

直接运行 ：

指定进程和端口号 ： -w: 表示进程(worker)。 -b：表示绑定ip地址和端口号(bind)。--access-logfile：表示指定log文件的路径

作为守护进程后台运行 ：

阿里云服务器默认安装到 /user/sbin/ 目录，进入目录，启动 ngnix:

Ubuntu 上配置 Nginx 也是很简单，不要去改动默认的 nginxconf 只需要将/etc/nginx/sites-available/default文件替换掉就可以了。

新建一个 default 文件，添加以下内容:

修改完成后重启nginx即可。

Ubuntu 上配置 Nginx 另一种方法，cd 到 /etc/nginx/confd 文件夹，新建 xxxconf 文件(xxx 可以是项目名，只要是 conf 文件即可)，写入以下内容：

需要监听 https 请求时，写入以下内容：