WAF nginx反向代理和透明代理

最新推荐文章于 2025-04-30 18:00:00 发布
最新推荐文章于 2025-04-30 18:00:00 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 服务器 文章标签: nginx 反向代理 透明代理 tproxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ddazz0621/article/details/84977358
本文深入探讨了Nginx的反向代理和透明代理配置,详细解释了如何通过iptables和ebtables设置代理规则,包括数据包的重定向、监听和转发流程。适合于网络管理和服务器配置的专业人士。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下面看一下实例:反向代理(10.0.13.222)和透明代理(10.0.1.66)站点。

反向代理:

Nginx自带反向代理功能,只需在Linux系统上开启相应的端口。

反向代理规则链移植:

iptables -t filter -N waf_proxy
iptables -t filter -A INPUT -j waf_proxy
iptables -A waf_proxy -p tcp -m multiport --ports 8001 -j ACCEPT

透明代理:

数据包从网卡上来,原本经过二层的broute表转发数据包。ebtable命令让其在二层的转发包Drop掉,直接上三层。在broute表添加规则,如下:

数据包上至三层后,首先经过PREROUTING阶段,在该阶段,要给数据包打上MARK标志。如下:

并且调用iptables的TPROXY模块。tproxy功能主要:

  1. 重定向一部分经过路由选择的流量到本地路由进程(类似NAT中的REDIRECT)。

  2. 使用非本地IP作为源IP初始化连接。

  3. 无需iptables参与,在非本地IP上起监听。

tproxy使得打标记的数据包走本地策略路由表3000,如下:

然后在filter的INPUT链上规则,放开本地监听代理端口。如下:

透明代理规则链移植:

ebtables添加链规则:
ebtables -t broute -A waf_redirect -p ipv4 --ip-proto tcp --ip-src 10.0.1.66 --ip-sport 80 -j redirect --redirect-target DROP >/dev/null 2>&1
ebtables -t broute -A waf_redirect -p ipv4 --ip-proto tcp --ip-dst 10.0.1.66 --ip-dport 80 -j redirect --redirect-target DROP >/dev/null 2>&1 

mangle添加链规则:(WAF之前的链waf_redirect在jump_pos链下绑着)
iptables -t mangle -N waf_redirect
iptables -t mangle -A proxy_pos -j waf_redirect

数据包重定向操作:
iptables -t mangle -A waf_redirect -d 10.0.1.66 -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1234 --on-port 8001  >/dev/null 2>&1

mangle添加链添加:(WAF之前的链waf_socket_match在jump_pos链下绑着)
iptables -t mangle -N waf_socket_match
iptables -t mangle -A proxy_pos -j waf_socket_match
        
iptables -t mangle -N DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 0x1234
iptables -t mangle -A DIVERT -j ACCEPT

服务端包到本地:
iptables -t mangle -A waf_socket_match -p tcp -s 10.0.1.66 --sport 80 -m socket -j DIVERT >/dev/null 2>&1

filter添加链规则:(iptables接收透明代理回应到本地的数据包)
iptables -A waf_proxy -s 10.0.1.66 -p tcp --sport 80 -j ACCEPT >/dev/null 2>&1(不必须)
iptables -A waf_proxy -d 10.0.1.66 -p tcp --dport 80 -j ACCEPT >/dev/null 2>&1    

其它相关配置:

filter添加链规则:(jiaoxt added forward rst pkt for testlink site died)
iptables -t filter -N waf_forward_rst
iptables -t filter -I FORWARD -j waf_forward_rst
        
iptables -A waf_forward_rst -s 10.0.1.66 -p tcp --sport 80 -j REJECT --reject-with tcp-reset >/dev/null 2>&1

 

掌握Nginx反向代理配置:解锁网站性能与安全的新境界
墨夶的博客
12-10 1478
简单来说,反向代理是一种位于客户端源服务器之间的中间层架构,它的主要职责是接收外部请求并将其转发给后端应用服务器处理,然后再将结果返回给用户。提升响应效率:通过缓存静态资源、压缩传输内容等方式,减少数据往返次数,从而加快页面加载时间。实现负载均衡:合理分配流量至多个实例上运行的服务,避免单点故障带来的风险。加强访问控制:集中管理认证授权规则,过滤非法请求,有效防止恶意攻击。简化URL结构:隐藏复杂的内部网络拓扑,对外呈现统一简洁的入口。
正向代理 vs 反向代理
m0_72030584的博客
04-27 708
正向代理 vs 反向代理
透明代理反向代理
Sherry_Rui的专栏
10-27 4223
透明代理反向代理 传统网络: 透明代理:                                                 实现机制:划分Vlan 反向代理: 实现机制: 配置DNS解析以及WAF中配置防护Web服务器的NAT   SDN环境下: 透明代理反向代
WAF反向代理模式的基本工作原理
qq_43561770的博客
11-17 1071
通过这种方式,WAF反向代理模式能够在Web应用程序潜在的恶意流量之间建立一道防线,提高应用程序的安全性,防范诸如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等常见的Web攻击。如果WAF检测到潜在的攻击行为,它可以采取多种措施来应对,例如阻止请求、清理恶意代码、修复恶意请求,或者记录日志以进行进一步的分析。WAF会分析传入的HTTP请求,包括请求头、请求体其他相关信息。经过WAF的合法请求将被允许通过,最终传递到后端的Web服务器,实际处理请求并生成响应。
1.2-WAF\CDN\OSS\反向代理\负载均衡
XXokok的博客
03-28 967
基础入门
WAF几种代理模式详解
m0_72210904的博客
05-23 2449
WAF的具体作用就是检测web应用中特定的应用,针对web应用的漏洞进行安全防护,阻止如SQL注入,XSS,跨脚本网站攻击等。
WAF学习之一——Nginx反向代理
weixin_38719347的博客
03-01 3819
文章目录反向代理什么是反向代理 反向代理 https://www.cnblogs.com/loverwangshan/p/9927968.html https://www.jianshu.com/p/6215e5d24553 流程图如下: 什么是反向代理 反向代理是(Reverse Proxy)是以代理服务器的形式来接受来自Internet的请求,然后将请求转发给内部服务器;并从服务器得到响应返...
运维学习————nginx-入门及反向代理搭建
m0_73376570的博客
08-20 1060
nginx [engine x] 是一个 HTTP 反向代理服务器,一个邮件代理服务器,一个通用的 TCP/UDP 代理服务器。Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3/SMAP)代理服务器。其特点是占有内存少并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。Nginx以事件驱动的方式编写,所以有非常好的性能,同时也是一个非常高效的反向代理、负载平衡服务器。
Modsecurity安装+Nginx+腾讯云CentOS+XSS-Labs靶场+WAF规则
钟言的博客
06-24 3773
本篇为对于传统WAF的研究,使用的架构:Modsecurity安装+Nginx+腾讯云CentOS+XSS-Labs靶场+WAF规则,详细内容包含了:项目环境介绍 ModSecurity介绍 1、Modsecurity基本概述 2、Modsecurity工作原理 3、Modsecurity功能特点 4、Modsecurity优点 5、Modsecurity缺点 三、Nginx介绍及配置文件 1、Nginx基本概述 2、Nginx应用场景 3、正向代理 4、反向代理 5、负载均衡 动静分离6、 7、主页等内容
深入解析Nginx代理技术:架构原理与生产实践全指南
最新发布
fudaihb的博客
04-30 1551
随着边缘计算5G技术的普及,代理技术正在向智能化、轻量化方向发展。AI驱动的智能调度:基于机器学习预测流量模式零信任安全架构:深度整合mTLS动态鉴权WebAssembly扩展:实现边缘计算逻辑量子安全加密:应对未来安全挑战。
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站_雷池waf启用proxy protocol
2401_84302796的博客
05-14 804
Ubuntu 系统的默认用户名是 ubuntu,并在安装过程中默认不设置 root 账户密码。您如有需要,可在设置中开启允许 root 用户登录。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~原因:[nginx中proxy_set_header Host。#进入mysql数据库–123456。
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 891
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
2024年最新uniapp小程序如何分包,详细步骤手把手(图解)_uni分包(1),1-3年网络安全开发工程师面试经验分享
2301_79985178的博客
05-06 2047
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
3-Web 安全与优化技术深度解析:WAF、CDN、OSS、反向代理与负载均衡
m0_70346880的博客
03-03 1173
摘录小迪安全
浅析web应用防火墙的反向代理部署
recklesszhang的博客
11-05 3025
浅析web应用防火墙在内网中的应用 现在,随着互联网的发展,越来越多用户对于网络的安全要求越来越高,对于安全设备的部署模式也需要根据不通场景的业务需要来进行调整。有一些客户为了对内网用户也隐藏自己真实服务器的ip地址,从而来防护各类http或https流量攻击,因此waf反向代理部署模式应运而生。 什么是反向代理? 首先,我们需要了解什么是反向代理反向代理是(Reverse Proxy)是以代理服务器的形式来接受来自Internet的请求,然后将请求转发给内部...
网络安全 day3 --- WAF&CDN&OSS&反向代理&正向代理&负载均衡
2302_81156108的博客
08-25 1168
学习网络安全的一些心得,希望对大家起到一定帮助就好。
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站_雷池waf启用proxy protocol(1)
weixin_58085973的博客
04-12 680
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS反病毒侦察。
统信UOS如何配置反向代理以集成WAF
Flask Web
12-08 564
在统信UOS系统中配置反向代理以集成WAF,通常可以使用Nginx或Apache等Web服务器来实现。
WAF攻防—绕过IP封锁(代理池)
剁椒鱼头没剁椒的博客
03-09 4118
这篇文章主要是将介绍在进行信息收集或者漏洞扫描等情况下,被WAF拦截了怎么办?被封锁IP了怎么办?可能更多的是被封锁IP,至于被WAF拦截,拦截的更多情况下是payload或者POC被拦截了。Web Application Firewall(web 应用防火墙),一种公认的说法是“web 应用防火墙”通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 web 应用提供保护的一款产品。
nginx反向代理keycloak
03-15
<think>好的,用户之前问过关于Nginx反向代理Nacos的问题,现在又问了关于Keycloak的。我需要先回顾之前的回答结构,确保保持一致。用户可能是在搭建一套微服务环境,需要配置多个服务的反向代理,所以需要清晰的步骤配置示例。 首先,用户的需求是使用Nginx反向代理Keycloak,可能遇到访问问题,比如页面空白或配置错误。需要分析Keycloak的特点,比如默认端口、必要路径、WebSocket支持等。Keycloak通常运行在8080端口,但可能用户会修改,需要确认。另外,Keycloak可能需要处理CORSHTTPS,特别是生产环境中的安全配置。 接下来,我需要考虑用户可能的配置错误点。比如端口是否正确,是否启用了SSL,静态资源路径是否正确代理,WebSocket有没有配置。此外,Keycloak的上下文路径可能需要调整,用户可能修改过,导致Nginx配置不匹配。 然后,要整理配置模板,确保包含关键部分,比如静态资源代理、WebSocket支持、gRPC(如果适用)、SSL配置示例。需要提醒用户替换实际域名后端服务器地址。同时,强调关键配置说明,比如WebSocket的必要性,路径匹配,HTTPS的重要性,以及健康检查等。 还要考虑用户可能遇到的常见问题,比如页面无法加载、WebSocket连接失败、CORS错误、HTTPS重定向问题。给出排查步骤,比如检查Nginx日志,验证端口连通性,浏览器控制台检查等。 最后,补充建议部分需要提醒集群配置、性能调优、安全加固,比如添加访问限制、WAF集成,以及备份配置的重要性。确保用户有一个全面的指南来配置排查问题。 整个过程中要保持结构清晰,分步骤说明,使用代码块突出配置,让用户容易复制修改。同时,使用中文口语化表达,避免技术术语过于晦涩,确保用户能理解每一步的目的操作方法。</think>--- ### 一、Keycloak反向代理核心要点 **Keycloak特性与代理难点:** 1. **默认端口**:HTTP 8080(开发模式) / HTTPS 8443(生产模式) 2. **必要路径**:`/auth`(关键路径,新版本可能调整) `/auth/admin` `/auth/realms` 3. **协议敏感**:需严格保持前端(Nginx)与后端(Keycloak)协议一致 4. **WebSocket依赖**:实时功能需要代理升级协议 --- ### 二、推荐配置模板(基础版) ```nginx server { listen 80; server_name auth.yourdomain.com; # 核心路径代理 location / { proxy_pass http://keycloak-server:8080; # Keycloak后端地址 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # WebSocket支持(管理控制台需要) proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } # 健康检查端点 location /health { proxy_pass http://keycloak-server:8080/health; access_log off; } } ``` --- ### 三、生产环境HTTPS增强配置 ```nginx server { listen 443 ssl; server_name auth.yourdomain.com; # SSL证书配置 ssl_certificate /etc/ssl/certs/fullchain.pem; ssl_certificate_key /etc/ssl/certs/privkey.pem; ssl_session_timeout 1d; ssl_protocols TLSv1.2 TLSv1.3; # 强制HTTPS重定向 if ($scheme != "https") { return 301 https://$host$request_uri; } # 代理配置(需同步修改Keycloak服务配置) location / { proxy_pass http://keycloak-server:8080; proxy_set_header X-Forwarded-Proto $scheme; # 必须传递协议类型 # 保持长连接 proxy_connect_timeout 600; proxy_send_timeout 600; proxy_read_timeout 600; send_timeout 600; } } ``` --- ### 四、关键配置说明 1. **协议一致性要求**: - 必须设置 `proxy_set_header X-Forwarded-Proto` - Keycloak会校验请求协议,若Nginx使用HTTPS但未传递该头,会导致重定向循环 2. **上下文路径匹配**: ```nginx # 如果Keycloak修改了context-path(默认无) location /my-auth/ { proxy_pass http://keycloak-server:8080/my-auth/; } ``` 3. **WebSocket超时配置**: ```nginx proxy_connect_timeout 7d; proxy_send_timeout 7d; proxy_read_timeout 7d; ``` --- ### 五、常见问题排查指南 #### 1. 页面无法加载 - **检查点**: ```bash # 验证后端可达性 curl -v http://keycloak-server:8080/auth/realms/master # 查看Nginx错误日志 tail -f /var/log/nginx/error.log | grep -i keycloak ``` #### 2. WebSocket连接失败 - **典型症状**:控制台出现 `WebSocket connection to 'wss://...' failed` - **解决方案**: ```nginx map $http_upgrade $connection_upgrade { default upgrade; '' close; } location / { proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; } ``` #### 3. CORS错误 - **配置增强**: ```nginx add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; ``` --- ### 六、高级配置建议 1. **集群部署支持**: ```nginx upstream keycloak_cluster { least_conn; server 10.0.0.1:8080; server 10.0.0.2:8080; keepalive 32; } ``` 2. **性能调优**: ```nginx # 缓冲区优化 proxy_buffer_size 128k; proxy_buffers 4 256k; proxy_busy_buffers_size 256k; # 缓存静态资源 location ~* \.(js|css|png|jpg|jpeg|gif|ico|woff2)$ { expires 365d; add_header Cache-Control "public, immutable"; } ``` 3. **安全加固**: ```nginx # 限制管理接口访问 location ~ ^/auth/admin/ { allow 192.168.1.0/24; deny all; proxy_pass http://keycloak-server:8080; } # 隐藏Server头 proxy_hide_header Server; more_clear_headers 'Server'; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值