アルパカログ

Webエンジニア兼マネージャーがプログラミングやマネジメント、読んだ本のまとめを中心に書いてます。

Nginx HTTPSアクセスのフォワードプロキシを設定する方法

f:id:otoyo0122:20200813085515p:plain:w300

このエントリでは、NginxをインストールしてHTTPSリクエストをフォワードプロキシ(Forward Proxy)する方法を説明します。

OSはAmazon Linuxで、Nginxのバージョンは1.12.2です。

必要なパッケージのインストール

$ sudo yum update
$ sudo yum install -y patch git gcc pcre-devel zlib-devel

モジュールを追加するためNginxをソースからインストール

Nginx モジュールは ngx_http_proxy_connect_module を使用しました。

$ wget http://nginx.org/download/nginx-1.12.2.tar.gz
$ git clone https://github.com/chobits/ngx_http_proxy_connect_module.git
$ tar -xzvf nginx-1.12.2.tar.gz
$ cd nginx-1.12.2
$ patch -p1 < ../ngx_http_proxy_connect_module/patch/proxy_connect.patch
$ ./configure --add-module=../ngx_http_proxy_connect_module
$ make
$ sudo make install

nginxをserviceに登録する

$ sudo vi /etc/init.d/nginx

下記の内容で新規作成します。

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  NGINX is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx

lockfile=/var/lock/subsys/nginx

make_dirs() {
   # make required directories
   user=`$nginx -V 2>&1 | grep "configure arguments:.*--user=" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
   if [ -n "$user" ]; then
      if [ -z "`grep $user /etc/passwd`" ]; then
         useradd -M -s /bin/nologin $user
      fi
      options=`$nginx -V 2>&1 | grep 'configure arguments:'`
      for opt in $options; do
          if [ `echo $opt | grep '.*-temp-path'` ]; then
              value=`echo $opt | cut -d "=" -f 2`
              if [ ! -d "$value" ]; then
                  # echo "creating" $value
                  mkdir -p $value && chown -R $user $value
              fi
          fi
       done
    fi
}

start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    make_dirs
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}

stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}

restart() {
    configtest || return $?
    stop
    sleep 1
    start
}

reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}

force_reload() {
    restart
}

configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}

rh_status() {
    status $prog
}

rh_status_q() {
    rh_status >/dev/null 2>&1
}

case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac

参考元

作成したら実行権限を与えて与えて起動します。自動起動も設定しておきます。

$ sudo chmod +x /etc/init.d/nginx
$ sudo service nginx start
$ sudo chkconfig nginx on

フォワードプロキシのためのコンフィグ設定

$ cat /etc/resolv.conf
; generated by /sbin/dhclient-script               
search ap-northeast-1.compute.internal             
options timeout:2 attempts:5                       
nameserver xxx.xxx.xxx.xxx

nameserver をメモし nginx.conf の resolver に設定します。

$ sudo vi /usr/local/nginx/conf/nginx.conf

下記を追加します。

    server {
         listen                         8080;
    
         # dns resolver used by forward proxying
         resolver                       xxx.xxx.xxx.xxx;
    
         # forward proxy for CONNECT request
         proxy_connect;
         proxy_connect_allow            443 563;
         proxy_connect_connect_timeout  10s;
         proxy_connect_read_timeout     10s;
         proxy_connect_send_timeout     10s;
    
         # forward proxy for non-CONNECT request
         location / {
             proxy_pass http://$host;
             proxy_set_header Host $host;
         }
    }

Nginxを再起動して設定を反映します。

$ sudo service nginx restart

確認

curl コマンドを使って確認しましょう。

$ curl -x <フォワードプロキシのIPアドレス>:8080 -Lv https://google.com

以上でフォワードプロキシの設定は完了です。

参考