Setup HTTPs Forward Proxy mit HAProxy

In HAProxy, ich habe option http-proxy zu machen es zu arbeiten, wie die forward-proxy. Dies scheint zu funktionieren gut, aber für HTTPS-Datenverkehr nicht möglich ist.

So, gibt es eine Möglichkeit in der HAProxy Konfiguration, die erlaubt, die proxy den HTTPS-Datenverkehr nur wie Squid nicht ?

Ich denke, das problem ist, dass die option https_proxy ist nicht verfügbar.

Diese Konfiguration funktioniert perfekt für das HTTP-Protokoll:

frontend http_proxy
   bind :3128
   option http_proxy
   default_backend proxy_server

backend proxy_server
   option http_proxy

Hinweis - ich habe das Zertifikat "ssl crt" zusammen mit der option binden, aber das schien nicht zu proxy über HTTPS-Protokoll

InformationsquelleAutor binaryuser | 2018-03-22
  1. 0

    Dies ist mein Haproxy-Datei-Konfiguration, es funktioniert auch für HTTP-und HTTPS-Protokoll.

    Hier der code : 

    #-----------------------------------------------------------------------------
# global
#-----------------------------------------------------------------------------

global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

    # Default SSL material locations
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

    # Default ciphers to use on SSL-enabled listening sockets.
    # For more information, see ciphers(1SSL). This list is from:
    #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
    # An alternative list with additional directives can be obtained from
    #  https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy
    ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
    ssl-default-bind-options no-sslv3

    # Tuning if required/needed
    # tune.ssl.default-dh-param 2048

#-----------------------------------------------------------------------------
# defaults
#-----------------------------------------------------------------------------

defaults
    log global
    mode    http
    option  httplog
    option  dontlognull
    timeout connect 5000
    timeout client  50000
    timeout server  50000
    errorfile 400 /etc/haproxy/errors/400.http
    errorfile 403 /etc/haproxy/errors/403.http
    errorfile 408 /etc/haproxy/errors/408.http
    errorfile 500 /etc/haproxy/errors/500.http
    errorfile 502 /etc/haproxy/errors/502.http
    errorfile 503 /etc/haproxy/errors/503.http
    errorfile 504 /etc/haproxy/errors/504.http

#-----------------------------------------------------------------------------
# http frontend
#-----------------------------------------------------------------------------

frontend http-in
    bind *:80
    # Domain redirect, force the 'www' prefix
    redirect prefix https://www.domain1.net code 301 if { hdr_beg(host) -i domain1.net }
    redirect prefix https://www.domain2.net code 301 if { hdr_beg(host) -i domain2.net }
    # Define hosts
    acl is-domain1-site hdr(host) -i www.domain1.net
    acl is-domain1-blog hdr(host) -i blog.domain1.net
    acl is-domain1-wiki hdr(host) -i wiki.domain1.net
    acl is-domain2-site hdr(host) -i www.domain2.net
    acl is-domain2-blog hdr(host) -i blog.domain2.net
    acl is-domain2-wiki hdr(host) -i wiki.domain2.net
    # Force https for domain1
    redirect scheme https if is-domain1-site !{ ssl_fc }
    redirect scheme https if is-domain1-blog !{ ssl_fc }
    redirect scheme https if is-domain1-wiki !{ ssl_fc }
    # Force https for domain2
    redirect scheme https if is-domain2-site !{ ssl_fc }
    redirect scheme https if is-domain2-blog !{ ssl_fc }
    redirect scheme https if is-domain2-wiki !{ ssl_fc }
    # Default backend (parking)
    default_backend bk-ct100

#-----------------------------------------------------------------------------
# https frontend
#-----------------------------------------------------------------------------

frontend https-in
    bind *:443 ssl crt /etc/ssl/private/
    # Domain redirect force www
    redirect prefix https://www.domain1.net code 301 if { hdr_beg(host) -i domain1.net }
    redirect prefix https://www.domain2.net code 301 if { hdr_beg(host) -i domain2.net }
    # Define hosts for domain1
    acl is-domain1-site hdr(host) -i www.domain1.net
    acl is-domain1-blog hdr(host) -i blog.domain1.net
    acl is-domain1-wiki hdr(host) -i wiki.domain1.net
    # Define hosts for domain2
    acl is-domain2-site hdr(host) -i www.domain2.net
    acl is-domain2-blog hdr(host) -i blog.domain2.net
    acl is-domain2-wiki hdr(host) -i wiki.domain2.net
    # Figure out which backend to use for domain1
    use_backend bk-ct101 if is-domain1-site
    use_backend bk-ct101 if is-domain1-blog
    use_backend bk-ct101 if is-domain1-wiki
    # Figure out which backend to use for domain2
    use_backend bk-ct102 if is-domain2-site
    use_backend bk-ct102 if is-domain2-blog
    use_backend bk-ct102 if is-domain2-wiki
    # Default backend (parking)
    default_backend bk-ct100

#-----------------------------------------------------------------------------
# ct100 backend - parking
#-----------------------------------------------------------------------------

backend bk-ct100
    mode   http
    option forwardfor
    server ct100 192.168.100.100:80 check

#-----------------------------------------------------------------------------
# ct101 backend - domain1
#-----------------------------------------------------------------------------

backend bk-ct101
    mode   http
    option forwardfor
    server ct101 192.168.100.101:80 check

#-----------------------------------------------------------------------------
# ct102 backend - domain2
#-----------------------------------------------------------------------------

backend bk-ct102
    mode   http
    option forwardfor
    server ct102 192.168.100.102:80 check

#-----------------------------------------------------------------------------
# End-Of-File
#-----------------------------------------------------------------------------

    In dieser Konfiguration, die ich wählte, zu leiten den gesamten traffic von HTTP auf HTTPS. Alle meine Zertifikate sind gespeicherte in /etc/ssl/private-Verzeichnis. Generiert ich Sie mit CertBot.

    Können Sie sich diese Datei für Ihre Bedürfnisse, aber es sollte funktionieren 🙂

    • Vielen Dank für deine freundliche Hilfe, weiß es zu schätzen. Diese Konfiguration (redirect) nicht für mich arbeiten. Da, was ich versuche zu erreichen ist die Einrichtung eines forward proxy mit der haproxy. Wie bereits erläutert, über die hier : stackoverflow.com/a/366212/2770176
    • Ich habe es irgendwie geschafft, zu tun, die forward-proxy-Teil mit nur http - Protokoll. Aus den docs, ist es nicht klar, dass die https - Protokoll wird ebenfalls unterstützt. Mit curl getestet habe ich sowohl die http - & https-proxy curl -x <HAProxy-IP>:3128 http://<remote-server>:80/home/page1/ -vvv und curl -x <HAProxy-IP>:443 https://<remote-server>:80/home/page1/ -vvv ich glaube, es ist besser nicht zu verwenden, HAProxy mit der option http_proxy wie ich gefunden habe, einige seltsame Verhalten mit der HAProxy Rückkehr 503 Service Unavailable No server is available to handle this request. (das tut Sie manchmal, nicht immer)
    InformationsquelleAutor Hurobaki
Schreibe einen Kommentar