Как настроить обратный прокси сервер для подмены ссылки (не только домена) на различные сервисы?

Question

[Araxis]

Цель установки обратного прокси сервера - подмена конечной ссылки того или иного корпоративного сервиса на свою ссылку. Чаще всего это различные программы 1С с установленным веб-сервером. .

Предположим есть 4 сервиса со следующими ссылками для конечного пользователя:

1. 1sfresh.ru/kjbehr
   
2. 1scloud.ru/sjhdbu
   
3. service.ru/fhtfvhh
   
4. service.ru/khfdvho
   

Реальные ссылки могут быть длиннее, с поддоменами и, главное, не удобны для запоминания.
Для внутренних целей необходимо использовать собственный домен mydomain.ru.

Ниже пример сопоставления / подмены ссылок:

1. 1sfresh.ru/kjbehr/* --> mydomain.ru/fresh/*
   
2. 1scloud.ru/sjhdbu/* --> mydomain.ru/cloud/*
   
3. service.ru/fhtfvhh/* --> mydomain.ru/sedo/*
   
4. service.ru/khfdvho/* --> mydomain.ru/dir/kedo/*
   

На nginx по мануалу не совсем получается, фактически успешная подмена происходит только домена, а вот путь - нет. ссылка заменяется на оригинальный

1. 1sfresh.ru/kjbehr/* --> mydomain.ru/fresh/* --> mydomain.ru/kjbehr/*
   
2. 1scloud.ru/sjhdbu/* --> mydomain.ru/cloud/* --> mydomain.ru/sjhdbu/*
   
3. service.ru/fhtfvhh/* --> mydomain.ru/sedo/* --> mydomain.ru/fhtfvhh
   
4. service.ru/khfdvho/* --> mydomain.ru/dir/kedo/* --> mydomain.ru/khfdvho
   

Есть ли решение этой задачи?

PS Пробовали только на nginx, доступа к конфигурации сервисов нет- это чужие сервисы.

UPD Конфигурация

server {

    server_name mydomain.ru;
    access_log /var/log/nginx/mydomain-access.log;
    error_log /var/log/nginx/mydomain-error.log;
#    return 301 https://$server_name$request_uri;
#    proxy_read_timeout 600;


}

server {
    listen 443 ssl;
    server_name mydomain.ru;
    access_log /var/log/nginx/mydomain-ssl-access.log;
    error_log /var/log/nginx/mydomain-ssl-error.log;

    ssl_certificate /etc/letsencrypt/live/mydomain.ru/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/mydomain.ru/privkey.pem; # managed by Certbot
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.1 TLSv1.2;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    location /.well-known/acme-challenge/ {
        root /var/www/acme;
    }
    location /fresh/ {
        proxy_pass https://1sfresh.ru/kjbehr/;
	proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-Proto https;
    }
    location /kjbehr/ {
        proxy_pass https://1sfresh.ru/kjbehr/;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto https;
    }
}

Comments

[Lynn «Кофеман»]

А не проще сделать редиректы с «красивых» адресов на некрасивые?

[Araxis]

Lynn «Кофеман», каким образом если сервисы чужие?

[Lynn «Кофеман»]

А какая разница? Редиректить можно куда угодно

[Araxis]

Для корпоративных целей нужно, чтобы домен был корпоративным, не просто редирект

[Lynn «Кофеман»]

ну тогда как минимум нужно показать конфиг

[rPman]

Araxis,

Для корпоративных целей нужно, чтобы домен был корпоративным

что это означает? что за требование позволяет делать полную копию сайта на своем домене но не разрешает использовать оригинал?

[Araxis]

rPman, могу перефразировать это требования как "я так хочу")))

С одной стороны есть определенная корпоративная ссылка, которая установлена очень много где, и ее менять не хотелось бы, тем более искать где она появляется.

С другой стороны необходимо перейти в облако, а собственный сервер отключить.

Предположим это облако это 1сfresh и ссылка на ПО будет типа такого вида https://1cfresh.com/xxxx/xx/00xx/000000/*

а нам надо чтобы он открывался по привычной ссылке типа https://MyDomain.ru/service/*

Но после настроек при переходе получается https://MyDomain.ru/xxxx/xx/00xx/000000/* и тонкие клиенты не работают

[AUser0]

Araxis, сделать такое очень сложно, потому что с сервера HTTP-страницы будут приходить с адресами оригинального сервера 1cfresh.com/xxxx/ и т.д., и браузер будет обращаться именно к этим оригинальным ссылкам. Но вы хотите работы с mydomain.ru/service/, что расходится с оригинальными ссылками, и придётся очень сильно извратиться, что бы это взлетело. Проще внести ссылки в Favorites браузера, ну ещё в NGINX на mydomain.com сделать redirect 302 1cfresh.com/xxxx/..., для быстроты, вот и всё.

[Araxis]

Lynn «Кофеман», добавил конфигурацию

[Lynn «Кофеман»]

Araxis, для начала добавить слеш в конце адреса в proxy_pass и убрать директиву proxy_redirect off.

[dodo512]

Araxis, ещё убрать proxy_set_header Host $host;

Answer 1

[ky0]

Вам нужен не доступ к сервисам, а развёрнутый сокращатель ссылок. То, что вы пытаетесь сделать, рано или поздно превратится в некрасивую простыню в конфиге.

Comments

[Araxis]

Разве такой способ не будет просто редиректить на оригинальные ссылки?
+ проблемы будут во всяких тонких клиентах 1С

[ky0]

Araxis, конечно, редирект. Никто вам не даст подменять все ссылки в процессе работы, HTTPS для того и нужен - чтобы такого не происходило. С не-HTTP сервисами всё ещё хуже.

[rPman]

ky0, речь же не про атаку 'человек по середине', а проксирование, домен и путь другой получается, тут больше вопрос а проксируемый сервер готов работать по относительному пути, а не в корне

Answer 2

[Михаил Ливач]

https://nginx.org/en/docs/http/ngx_http_sub_module.html - оно ?