Как настроить прокси для перенаправления всех запросов на мой веб-сервер?

Question

[konchober]

Привет! Очень нуждаюсь в помощи коллективного разума! Дано:

1) Браузер, например, Firefox. В настройках указан HTTP-прокси и SSL-прокси: 192.168.0.2 с портом 8080
2) Сервер с Centos 6 на который можно ставить любой софт.
3) PHP/PHP-FPM 7.1
4) Nginx, который слушает 80 порт для любого доменного имени и запускает fastcgi_pass на php-fpm.
5) Также nginx слушает порт 8080 и делает с него proxy_pass http://localhost:80/

Такая конфигурация позволяет мне легко и просто делать предобработку всех запросов и ответов, но только для HTTP сайтов. Но так как сейчас многие сайты принудительно редиректятся на свою HTTPS версию, то толку от этой конфигурации мало.

Проблема в том, что Nginx не может выступать в роли полноценного ssl-прокси, т.к. не умеет работать со специфичным CONNECT method. Изучив интернет на эту тему узнал печальный факт: все существующие reverse/balance прокси не умеют принимать запросы от клиентов по ssl-прокси протоколу, а все существующие прокси серверы не умеют proxy pass на внешний обработчик.

Я очень надеюсь, что я плохо гуглил и упустил готовое решение. Как алтернативное решение может подойти прокси который сможет подменить днс для всех хостов на заданный мной.

Comments

[15432]

Прокси ведь использует дефолтный DNS системы - подмените его сами.
Если расскажете, что такое proxy_pass, попробую свою поделку модифицировать под ваши нужды

[konchober]

15432: но ведь остальные приложения на системе должны функционировать по реальным, а не фейковым днс)

proxy pass посылает запрос от клиента в оригинальном виде не тому, кому он предназначается, а указанному в конфиге веб-серверу/программе, которая формирует ответ для прокси-сервера, который в свою очередь возвращает его клиенту, который думает, что ответ сгенерировал запрошенный им сервер.

[15432]

konchober: Перебросить запрос не проблема, как с HTTPS быть? За CONNECT последует прямое SSL подключение, с проверкой сертификата и так далее. У вас же натуральный MitM.
CONNECT просит прокси создать TCP канал к запрошенному адресу. Дальше либо самоподписанный сертификат (и предупреждение браузера на весь экран), либо проброс данных без возможности анализа и модификации (ибо всё шифровано)

[konchober]

15432: оба варианта меня полностью устраивают )

[15432]

если все исходные запросы редиректить на внешний обработчик, зачем вам вообще прокси? пусть сразу к обработчику коннектятся)

[konchober]

15432: прокси только как вариант. есть какое-то решение, в том числе и на винду чтобы все запросы только одного конкретного приложения отправить на заданный мной айпи?

[15432]

konchober: есть tcp proxy (socat, например), которые все входящие tcp соединения перебрасывают на указанный IP/порт