Как сделать HTTPS прокси с помощью nginx?

Question

[galliard]

Итак, цель - создать локальный HTTPS-прокси, который в дальнейшем можно было бы программировать.

Для начала я сделал просто HTTP-прокси (без ssl) и все работало, выглядит это примерно так:

services:
    nginx:
        image: nginx
        ports:
          - "8000:80"
          - "4430:443"
        volumes:
            - ./:/var/www/app
            - ./vhost.conf:/etc/nginx/conf.d/default.conf

    php:
        image: php:8.2-fpm
        volumes:
            - ./:/var/www/app

server {
    listen 80;
    server_name _;
    root /var/www/app;
    index index.php;

    location / {
        try_files $uri /index.php$is_args$args;
    }

    location ~ ^/index\.php(/|$) {
        fastcgi_pass php:9000;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        internal;
    }
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "$_SERVER[REQUEST_SCHEME]://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]");
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_POST, $_SERVER['REQUEST_METHOD'] == 'POST');
curl_setopt($ch, CURLOPT_POSTFIELDS, file_get_contents('php://input'));
curl_setopt($ch, CURLOPT_HTTPHEADER, prepare_http_headers(get_http_headers()));

$response = curl_exec($ch);

curl_close($ch);

echo $response;

function get_http_headers(): array
{
    $headers = [];

    foreach ($_SERVER as $key => $value) {
        if (substr($key, 0, 5) == 'HTTP_') {
            $headers[strtr(ucwords(strtolower(substr($key, 5)), '_'), '_', '-')] = $value;
        }
    }

    return $headers;
}

function prepare_http_headers(array $headers): array
{
    $result = [];

    foreach ($headers as $key => $value) {
        $result[] = "$key: $value";
    }

    return $result;
}

Но как только я хочу сделать https прокси, то запрос до php-fpm даже не доходит, а в логах nginx я вижу что-то такое:

nginx  | 172.23.0.1 - - [03/Jul/2023:23:15:58 +0000] "CONNECT dynupdate.no-ip.com:443 HTTP/1.1" 400 157 "-" "-"

Сам конфиг nginx выглядит так:

server {
    listen 443 ssl http2;

    server_name _;

    root /var/www/app;
    index server.php;

    ssl_certificate /var/www/app/localhost.pem;
    ssl_certificate_key /var/www/app/localhost-key.pem;

    location / {
        try_files $uri /server.php$is_args$args;
    }

    location ~ ^/server\.php(/|$) {
        fastcgi_pass php:9000;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        internal;
    }
}

Сертификаты сгенерены через mkcert.

Comments

[AUser0]

Зачем вы нарушаете правила PHP? Любите смотреть на warning-и?

curl_setopt($ch, CURLOPT_URL, "{$_SERVER['REQUEST_SCHEME']}://{$_SERVER['HTTP_HOST']}{$_SERVER['REQUEST_URI']}");

[AUser0]

Во-вторых, ни к одном nginx-е (непонятно, кто из них - кто) не прописаны параметры для модуля ngx_http_proxy_connect_module:

# forward proxy for CONNECT request
proxy_connect;
proxy_connect_allow            443;
proxy_connect_connect_timeout  10s;
proxy_connect_read_timeout     10s;
proxy_connect_send_timeout     10s;

Вы различаете Forward и Reverse proxy?

[Alexey Dmitriev]

Могли бы вы подсказать, какое отношение тег и вообще php-fpm имеет к режиму proxy в nginx?

[galliard]

AUser0, Я не нарушаю никаких правил, то, что я написал - валидный синтаксис, никаких варнингов нет.

[AUser0]

galliard, нарушаете, без одиночных кавычек (ну, так удобнее, чем с двойными) PHP должен считать текст внутри квадратных скобок константами. Но таких констант в PHP нет, о чём PHP вывел бы сообщения (warning), но они заглушены. То, что вы их не видите - не значит что их нет.

[AUser0]

galliard, ...но поскольку таких констант нет, а это массив - то PHP считает эти строки индексами массива, и поэтому всё работает, но с предупреждением о некритичной ошибке.

[galliard]

AUser0, описанное тобой поведение возникает при обращении к массиву ВНЕ двойных ковычек. Обрати внимание, что все выражение заключено в двойные кавычки.

[AUser0]

galliard, действительно, был не прав, чёртов PHP на этот случай не ругается.
Тьфу на него, уйду в монастырь. А какой прокси-то вам нужен, forwarding или reverse?

[Lynn «Кофеман»]

Вообще nginx не для этого.
Но если очень хочется троллейбус из буханки, то https://habr.com/ru/articles/680992/

[AUser0]

galliard, а вы уверены, что приведённая строка из логов - именно ваша? Потому что CONNECT - это признак использования этого Nginx как forwarding proxy. Должен быть GET или POST, но никак не CONNECT!

[galliard]

AUser0, конечно, я все в докере запускал и смотрел лог в реальном времени, а рядом фаерфркс в котором настроен прокси на этот nginx.

[AUser0]

galliard, так, вот сейчас будет очень тупой вопрос, но его надо задать: вы в своём уме? Вы настраиваете Nginx как reverse proxy, но используете его как forward proxy, так?

[galliard]

AUser0, именно.

[AUser0]

galliard, тогда единственный совет: перестаньте использовать Nginx как forwarding proxy, настраивайте его как reverse proxy, и всё получится. У вас даже всё уже получалось на 80-ом порту, отличие только в номере порта+шифрование, ничего экстраординарного.

[galliard]

AUser0, к сожалению, браузеры не позволяют использовать http-прокси для https-сайтов.

[AUser0]

galliard, давайте я тоже напишу что-нибудь эдакое... Выбросите вы эти браузеры, используйте curl и wget, в них https_proxy есть!
Ну, чисто что бы поддержать пустой трындёж, уводящий в сторону от сути вопроса, про reverse proxy.

Answer 1

[Drno]

Если я не ошибаюсь…
Для того что бы сделать перевдресацию 443:443 , на сервисе должны быть валидные сертификаты. И nginx должен иметь к ним доступ.

Обычно https делается на прокси, с сертификатами, и перенаправляется на http порт сервиса.
443:80

Comments

[AUser0]

Drno, судя по строке "CONNECT some.domain.here:443" автор вопроса пытается использовать Nginx как обычный forwarding proxy (как SQUID то бишь). Ну а дальше - лес из грабель.

[galliard]

AUser0, так мне не нужен просто прокси, мне нужно завернуть все запросы на php и дальше уже через логику решать, куда дальше направлять запрос.

[Drno]

galliard, если тебе нужен reverse proxy - это к nginx
если завернуть все входящие запросы на другой порт - это к iptables

[AUser0]

galliard, некоторый уровень логики есть в самом Nginx.
А вот проксировать HTTP-запросы в PHP, что бы он проксировал их на другие сервера... Однааако!

[galliard]

AUser0, к сожалению, этого "некоторого уровня" мне недостаточно(