V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
hanssx
V2EX  ›  NGINX

nginx 正向代理 ngx_http_proxy_connect_module 中参数 proxy_connect_allow

  •  
  •   hanssx · 2023-06-02 07:57:28 +08:00 · 1392 次点击
    这是一个创建于 538 天前的主题,其中的信息可能已经有所发展或是发生改变。

    client->nginx proxy->server

    一直不确定这个参数 proxy_connect_allow 配置的端口的意义

            listen       9000;
            
            
            # forward proxy for CONNECT request
            proxy_connect;
            proxy_connect_allow            80 443 563;
            proxy_connect_connect_timeout  10s;
            proxy_connect_data_timeout     10s;       
         }
    

    看文档说得是用于 connect 连接,允许进行 CONNECT 请求的端口,也就是说是 client 去连接 nginx proxy 的,nginx proxy 上面要开放的 INPUT 向的端口?

    实际操作是,代理使用得是 IP:9000 ,netstat 显示也是 9000 开放了端口,并没有看到 80 443 563 的 LISTEN 状态。

    那么这个端口到底是限定的哪个位置的入向还是出向端口呢?难不成是 nginx proxy 连接 server 所用端口?感觉不是吧,不符合文档里面说的。

    5 条回复    2023-06-06 22:13:38 +08:00
    lovelylain
        1
    lovelylain  
       2023-06-02 08:05:56 +08:00 via Android
    目标地址的端口吧,connect 是连接型代理,可以代理任意 tcp 连接,有时候想只允许代理 80 443 等 web 端口。
    hanssx
        2
    hanssx  
    OP
       2023-06-02 08:32:13 +08:00
    @lovelylain 那感觉文档说得有歧义。。

    引用文档:
    This directive specifies a list of port numbers or ranges to which the proxy CONNECT method may connect.
    By default, only the default https port (443) and the default snews port (563) are enabled.
    Using this directive will override this default and allow connections to the listed ports only.

    The value all will allow all ports to proxy.

    The value port will allow specified port to proxy.

    The value port-range will allow specified range of port to proxy, for example:


    引用里面的一句话:the proxy CONNECT method may connect.

    CONNECT 其实只在 client->nginx proxy 这个环节吧? nginx proxy->server 应该是 tcp 连接,那这里面所说的 CONNECT 方法可能连接的端口,那不就是表明 nginx proxy 嘛 /捂脸

    ---------------------
    另外,话说有办法限制 nginx proxy 代理出网的端口吗,也就是限制 OUTPUT --sport=3000
    adoal
        3
    adoal  
       2023-06-02 11:03:57 +08:00   ❤️ 1
    不要望文生义。你先搞懂 HTTP CONNECT method 的用法再来看这个文档就不会有疑问了。

    大写的 CONNECT ,这是一个单独的 HTTP method ,跟 GET/POST 对等的,只是专用于代理罢了。你引用“the proxy CONNECT method may connect”并自我发挥“CONNECT 其实只在 client->nginx proxy 这个环节吧? nginx proxy->server 应该是 tcp 连接”实在是理解歪了。

    这句话的意思是是通过 CONNECT 方法可以去连的端口。从 cient->nginx proxy 这个环节,操作是发一个 CONNECT 命令,指导 nginx 建立 tcp 连接去连 server 的目标端口。在逻辑上这是一个整体操作。你非要把“CONNECT 方法可能连接的端口”理解为 ient->nginx proxy ……这个逻辑就不对,是 cient->nginx proxy 已经建立好 tcp 连接了,才会按 HTTP 协议的格式发送 CONNECT 请求,所以 cient 能“连”( connect ,小写,作为一个通用英语单词) nginx proxy 什么端口,跟“CONNECT”(大写,特指 HTTP CONNECT method )请求根本就是两码事。
    adoal
        4
    adoal  
       2023-06-02 11:05:30 +08:00   ❤️ 1
    文档并没有歧义。你对涉及到的背景知识了解不够罢了,另外也可能英文阅读能力有待提高。
    hanssx
        5
    hanssx  
    OP
       2023-06-06 22:13:38 +08:00
    @adoal 确实理解有误+英文理解有误,引用“CONNECT 命令,指导 nginx 建立 tcp 连接”,这个受教了,应该是从 7 层的 Host 提取出来去连接的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3416 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:51 · PVG 18:51 · LAX 02:51 · JFK 05:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.