通过Nginx的正向代理审计监控内网用户的外网访问记录

　　正向代理
　　一个位于客户端和目标服务器之间的 Nginx 正向代理服务器, 客户端向 Nginx 正向代理发送一个请求并指定目标服务器，然后代理向目标服务器转交请求并将获得的内容返回给客户端及本地代理服务器缓存
　　适用场景: 用于解决内网服务器通过代理服务器访问外网 监控内网终端的外网访问记录 代理端缓存外网访问的响应结构,加速外网访问
　　正向代理又细分为 http、https 流量的 透明代理 和非透明代理 透明代理指利用内网 dns 将待访问的域名解析到 Nginx 的透明代理, 终端用户利用内网 dns 后不需要进行任何代理服务器设置 非透明代理指终端用户需要设置代理服务器信息
　　如何代理加密的 HTTPS 流量是正向代理需要解决的主要问题, 当前主要的两种方式: 七层解决：HTTP CONNECT 透传(隧道)模式, 即不解密不感知上层流量 四层解决: NGINX Stream http 流量
　　1、透明代理, 利用本机 hosts 或 DNS 解析待访问的目标域名到代理服务器 Ip # Nginx 透明正向代理 http 流量主要配置 server {     resolver 114.114.114.114;     listen 80;     access_log   /var/log/nginx/access.80.log  main;     location / {         proxy_pass http://$http_host$request_uri;         proxy_set_header HOST $http_host;         proxy_buffers 256 4k;         proxy_max_temp_file_size 0k;         proxy_connect_timeout 30;         proxy_send_timeout 60;         proxy_read_timeout 60;         proxy_next_upstream error timeout invalid_header http_502;     } }
　　2、非透明代理, 需在客户终端设置代理服务器信息 # Nginx 非透明正向代理 http 流量主要配置 server {     resolver 114.114.114.114;     listen 1080;     location / {         proxy_pass http://$http_host$request_uri;         proxy_set_header HOST $http_host;         proxy_buffers 256 4k;         proxy_max_temp_file_size 0k;         proxy_connect_timeout 30;         proxy_send_timeout 60;         proxy_read_timeout 60;         proxy_next_upstream error timeout invalid_header http_502;     } } https 流量
　　1、HTTP CONNECT 隧道 方式(非透明代理) # 需要 ngx_http_proxy_connect_module 模块支持; 客户端需要指定 https 代理服务器 yum -y install gcc-c++ zlib-devel openssl-devel.x86_64 pcre-devel gd-devel patch wget http://nginx.org/download/nginx-1.20.1.tar.gz tar xf nginx-1.20.1.tar.gz && cd nginx-1.20.1  # 给 nginx 打补丁, 需要根据不同的 nginx 版本 选择对应的补丁 cd /root/src/ && git clone https://github.com/chobits/ngx_http_proxy_connect_module cd nginx-1.20.1 patch -p1 < /root/src/ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_1018.patch  ./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt=＂-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC＂ --with-ld-opt=＂-Wl,-z,relro -Wl,-z,now -pie＂  --add-module=/root/src/ngx_http_proxy_connect_module  make && make install  mkdir -p /var/cache/nginx/client_temp && useradd -M -r -s /sbin/nologin nginx  # nginx server 配置 server {     listen  8443;     resolver  114.114.114.114;     access_log  /var/log/nginx/access.8443.log  main;      proxy_connect;     proxy_connect_allow            443;     proxy_connect_connect_timeout  10s;     proxy_connect_read_timeout     10s;     proxy_connect_send_timeout     10s;     location / {         proxy_pass http://$host;         proxy_set_header Host $host;     } }  # linux 命令行设置 http 代理服务器 export http_proxy=＂192.168.31.68:1080＂ export http_proxy=＂192.168.31.68:8443＂  # 通过 curl 测试代理服务器是否正常 curl --proxy 192.168.31.68:8443 https://www.baidu.com -svo /dev/null curl http://192.168.31.17:1083 -svo /dev/null
　　2、NGINX Stream 方式(HTTPS 流量的透明正向代理) 需要 --with-stream，--with-stream_ssl_preread_module、--with-stream_ssl_module 模块的支持; 利用 ngx_stream_ssl_preread_module 模块, 在不解密的情况下拿到 HTTPS 流量待访问目标域名(利用 TLS/SSL 握手的第一个 Client Hello 报文中的扩展地址 SNI (Server Name Indication)来获取); 如果客户端没有携带 SNI 字段,会造成代理服务器无法获取待访问目标服务域名,导致访问不成功; 因此要求所有客户端都需要在 TLS/SSL 握手中带上 SNI 字段!! 将待访问的所有域名利用内网 dns 或 hosts 解析到代理服务器; 客户端侧则不需要指定代理服务器信息 stream {     resolver 114.114.114.114;     log_format main ＂$remote_addr - [$time_local] ＂                  ＂$protocol $status $bytes_sent $bytes_received $session_time ＂$upstream_addr＂ ＂                  ＂＂$upstream_bytes_sent＂ ＂$upstream_bytes_received＂ ＂$upstream_connect_time＂ ＂                  ＂$remote_addr $remote_port $server_addr $server_port＂;     access_log /var/log/nginx/access.443.log main;     server {         listen 443;         ssl_preread on;         proxy_connect_timeout 5s;         proxy_pass $ssl_preread_server_name:$server_port;     } }  # 命令行测试 或 通过浏览器测试 # 将要访问的目标域名通过本机 hosts 或 内网 dns 解析到代理服务器 openssl s_client -connect www.baidu.com:443 -servername www.baidu.com

曾是中国刷墙广告鼻祖，3年招16万人爆卖80亿，却因一老汉而崩溃上个世纪90年代，中国的生活生产资料还比较稀缺，能够补充营养兼带治病的保健品大行其道，涌现出了中华鳖精红桃K，飞龙太阳神昂立一号505神功元气袋脑白金等一大批品牌。依靠低成本高投入OPPOACE2正式发布在4月13日的1900，OPPOACE的线上发布会正式开启。本次发布会除了主角OPPOACE之外，还发布了一款40W风冷无线充电器，配合OPPOACE使用，售价249元。还有一款真近期购买手机你所需要注意的几点2020年作为5G元年，所有的手机标准都会重新登上一个新的台阶，那么都会有那些参数指标有改变提升呢？今天这篇文章就会带你来了解这些参数的变化。1内存规格今年的内存规格得到了一次飞跃荣耀30系列购买建议就在4月15日下午1430，荣耀30系列发布会正式召开，本次发布会共发布了荣耀30荣耀30pro荣耀30pro三款产品，更是发布了全新的麒麟985芯片，用于代替麒麟9904G巴龙5iPhone12最新最全路透四款全5G刘海更小，使用app无需安装近日，国外知名爆料人分析师乔恩普罗瑟的曝光了iPhone12的更多细节四款新机型，刘海更小，全部配备5G，两款采用铝制机身，两款采用不锈钢。有魅族再次现身央视今日有一条这样的新闻三大运营商计划在年内推出升级版短信服务5G消息。5G消息的特点打破传统短信长度限制，实现文图音视频表情等融合支持在线支付在线和离线消息不加好友就能随时发起群发群18系列海外发布一加88128GB售价699美元（约4924元），12256GB北美售价799美元（约5629元。一加8Pro8128GB售价899美元（约6333元），12256GB售价999美18系列发布在即，罗老师与张老板亲切互动今日张老板在日常宣传自家产品时，罗老师自动站了出来，表示是全球最先拿到18系列的用户，并对前友商产品大肆赞扬。预计下周罗老师直播带货会加上18系列，或者是会一起定制系统？一加最大的珠海小厂全新解释机圈热词4月17日的魅族5G技术交流会上，魅族提出了对智慧方向对了感知不强徒增功耗的全新理解。智慧本为华为和荣耀等的宣传语，后因为某些原因发展为买华为增智慧以及因为各路脑残花粉的骚操作，都麦当劳将发布5G新品麦当劳官方预热，将在4。15日上午830在B站举行5G新品发布会。从官方发出的预热图来看，这款新品可能会是一台手机，四曲面窄边框大屏，超大广角，360无死角3D人脸解锁，立体声扬声国产之光华为发展史现在一提到国产手机，很多人第一时间就会想到华为，而有关华为的故事你又知道多少呢？1987年，华为正式成立，作为香港HAX公司的代理商，由此积累了研发启动资金。在1990年，华为开始

<<<<<<－>>>>>>

跨境电商零售进口商品清单优化增加滑雪用具等二十九项商品作者本报记者鲁元珍光明日报（2022年02月22日10版）本报北京2月21日电记者鲁元珍21日从财政部了解到，财政部等8部门发布公告，自今年3月1日起，优化调整跨境电子商务零售进口专注酒店等场景服务机器人，云迹科技或将在科创板IPO近日，专注于酒店等场景服务机器人的北京云迹科技有限公司（下称云迹科技）在北京证监局完成上市辅导备案工作。有市场消息指出，云迹科技此次或将在科创板IPO，成为继石头科技九号公司等之后迭代升级，自带HUB与5个风扇的安钛克DF800Flux机箱安钛克FLUX系列机箱属于安钛克旗下比较热门的机箱，主打的卖点就是散热性能，目前FLUX系列机箱包含了静音机箱P10FLUX驱逐者DF600FLUX守护者DP502FLUX风行者D莫名消失的话费近日，我刚缴的移动手机上的几十元预存话费，没几天就又收到移动通信缴费通知，我感到很纳闷，我用的是定额话费，基本通话费8元，来电显3元，每月固定话费是11元，我手机上一没有上网，二手几种主流的分布式定时任务，你知道哪些？单点定时任务JDK原生自从JDK1。5之后，提供了ScheduledExecutorService代替TimerTask来执行定时任务，提供了不错的可靠性。publicclassS高通终于不再挤牙膏！高通Wear5100处理器首曝光，4nm工艺性能强众所周知，智能手表其实和智能手机一样，需要智能芯片作为基础。而目前来说，高通的芯片，依然是绝大部分智能手表的选择。当然，高通针对智能手表开发的芯片，也分为了高中低端，并非简单的一款2月23日，一个年轻生命的消失，带给我们太多的思考刚才从网上看到一则消息很震惊，2月23日下午，字节跳动28岁员工猝死的消息，13时左右，员工吴某在抢救41个小时后不幸离世。真可惜！一个年轻的生命瞬间消失。据悉字节跳动表示吴同学加揭秘vivo旗舰机X80系列面对激烈的智能手机市场，vivo手机品牌还是很卖力的，vivoX80还未官宣发布日期，但它的配置参数已经流出。权威跑分软件安兔兔表示，一款代号为PD2186X的vivo神秘新机出现Python的赋值与复制对于Python的初学者，在对象的使用过程中，由于对变量的赋值和对象的复制中的概念模糊，导致程序出错。例如，下面的代码a1，2，3，4，5bac1，2，3，4，5b06print（三千元价位我只推荐这五款手机说起挑选手机，这事儿吧属实有些费精力，讲真的iPhone太贵，千元机的性能又有些看不上，所以三千元这个价位的手机算是比较适合的，性能方面可以满足大部分人的需要，产品可选余地很大，且详细的手机对比看完你就知道自己想要什么样的手机手机性能评测手机可能已经成为普通用户手中价值最贵的物件了，价值越高的产品在选择的时候就会越焦虑，那么本文就详细的教大家如何去选择一款真正让自己称心如意的手机。01确定预算和对手机的主要诉求。确