アルパカログ

カスタマーサポート (CS) とエンジニアリングを掛け算したい CRE (Customer Reliability Engineer) が気になる技術や思ったことなど。

NginxでHTTPSアクセスをForward Proxyする

Amazon Linux に Nginx をインストールして Forward Proxy にしたのでその方法を書き残しておきます。

Nginx のバージョンは 1.12.2 です。

必要なパッケージのインストール

$ sudo yum update
$ sudo yum install -y patch git gcc pcre-devel zlib-devel

モジュールを追加するため Nginx をソースからインストール

Nginx モジュールは ngx_http_proxy_connect_module を使用しました。

$ wget http://nginx.org/download/nginx-1.12.2.tar.gz
$ git clone https://github.com/chobits/ngx_http_proxy_connect_module.git
$ tar -xzvf nginx-1.12.2.tar.gz
$ cd nginx-1.12.2
$ patch -p1 < ../ngx_http_proxy_connect_module/patch/proxy_connect.patch
$ ./configure --add-module=../ngx_http_proxy_connect_module
$ make
$ sudo make install

service 登録

$ sudo vi /etc/init.d/nginx

下記内容で新規作成します。

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  NGINX is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx

lockfile=/var/lock/subsys/nginx

make_dirs() {
   # make required directories
   user=`$nginx -V 2>&1 | grep "configure arguments:.*--user=" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
   if [ -n "$user" ]; then
      if [ -z "`grep $user /etc/passwd`" ]; then
         useradd -M -s /bin/nologin $user
      fi
      options=`$nginx -V 2>&1 | grep 'configure arguments:'`
      for opt in $options; do
          if [ `echo $opt | grep '.*-temp-path'` ]; then
              value=`echo $opt | cut -d "=" -f 2`
              if [ ! -d "$value" ]; then
                  # echo "creating" $value
                  mkdir -p $value && chown -R $user $value
              fi
          fi
       done
    fi
}

start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    make_dirs
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}

stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}

restart() {
    configtest || return $?
    stop
    sleep 1
    start
}

reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}

force_reload() {
    restart
}

configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}

rh_status() {
    status $prog
}

rh_status_q() {
    rh_status >/dev/null 2>&1
}

case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac

参考元

$ sudo chmod +x /etc/init.d/nginx
$ sudo service nginx start
$ sudo chkconfig nginx on

Forward Proxy のための conf 設定

$ cat /etc/resolv.conf
; generated by /sbin/dhclient-script               
search ap-northeast-1.compute.internal             
options timeout:2 attempts:5                       
nameserver xxx.xxx.xxx.xxx

nameserver をメモし nginx.conf の resolver に設定します。

$ sudo vi /usr/local/nginx/conf/nginx.conf

下記を追加します。

    server {
         listen                         8080;
    
         # dns resolver used by forward proxying
         resolver                       xxx.xxx.xxx.xxx;
    
         # forward proxy for CONNECT request
         proxy_connect;
         proxy_connect_allow            443 563;
         proxy_connect_connect_timeout  10s;
         proxy_connect_read_timeout     10s;
         proxy_connect_send_timeout     10s;
    
         # forward proxy for non-CONNECT request
         location / {
             proxy_pass http://$host;
             proxy_set_header Host $host;
         }
    }

Nginx 再起動と確認

$ sudo service nginx restart
# Proxy 利用側で
$ curl -x <Forward ProxyのIPアドレス>:8080 -Lv https://hogehoge

おまけ: Elixir/HTTPotion の Proxy 設定

ibrowse オプションに proxy_hostproxy_port を渡してあげれば良い。

HTTPotion.get "http://hogehoge", [ibrowse: [proxy_host: 'xxx.xxx.xxx.xxx', proxy_port: xxxx]]

IPアドレスは char list なのでシングルクォートになる点に注意。

参考