Nginxを使用してhttps接続でsshをセットアップしようとしています。動作する例が見つからないので、助けていただければ幸いです。
~$ cat .ssh/config
Host example.net
Hostname example.net
ProtocolKeepAlives 30
DynamicForward 8118
ProxyCommand /usr/bin/proxytunnel -p ssh.example.net:443 -d localhost:22 -E -v -H "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)"
~$ ssh [email protected]
Local proxy ssh.example.net resolves to 115.xxx.xxx.xxx
Connected to ssh.example.net:443 (local proxy)
Tunneling to localhost:22 (destination)
Communication with local proxy:
-> CONNECT localhost:22 HTTP/1.0
-> Proxy-Connection: Keep-Alive
-> User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
<- <html>
<- <head><title>400 Bad Request</title></head>
<- <body bgcolor="white">
<- <center><h1>400 Bad Request</h1></center>
<- <hr><center>nginx/1.0.5</center>
<- </body>
<- </html>
analyze_HTTP: readline failed: Connection closed by remote Host
ssh_exchange_identification: Connection closed by remote Host
サーバー上のNginx設定。
~$ cat /etc/nginx/sites-enabled/ssh
upstream tunnel {
server localhost:22;
}
server {
listen 443;
server_name ssh.example.net;
location / {
proxy_pass http://tunnel;
proxy_set_header Host $Host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_redirect off;
}
ssl on;
ssl_certificate /etc/ssl/certs/server.cer;
ssl_certificate_key /etc/ssl/private/server.key;
}
~$ tail /var/log/nginx/access.log
203.xxx.xxx.xxx - - [08/Feb/2012:15:17:39 +1100] "CONNECT localhost:22 HTTP/1.0" 400 173 "-" "-"
Nginxはフォワードプロキシリクエスト(HTTP CONNECTメソッド)をサポートしていません。そのため、Nginxから「Bad request」応答が返されます。 ProxytunnelはNginxに接続できますが、そこから停止します。 AFAIFのNginxの作成者は、HTTPの提供に特化したいので、フォワードプロキシリクエストをサポートする予定はありません。 Apacheにはその他すべてのモジュールがあり、エキゾチックな機能を自由に使用できます。
sslh を見ると、ポート443で着信トラフィックをNginx(127.0.0.1:443でリッスン)、SSH、またはOpenVPNのいずれかに多重化できます。 Nginxがリッスンしている0.0.0.0
と重複するため、sslh
は127.0.0.1:433
ではなくパブリックIPアドレスでリッスンするようにしてください。
別のオプションはSquidを使用することですが、私はそこでの経験がありません。
Nginxは着信接続をHTTPとして扱い、HTTPでアップストリームと通信できることを期待しているので、私はこの種の設定を見たことがなく、うまくいくか疑問です。 nginxを介してプロキシする理由は何ですか?
これは古い質問ですが、それでも実際:-)
他の人が言及したように、Nginxで利用可能なHTTP CONNECTメソッドがないため、この設定はほとんど利用できません。
注:Apache Webサーバーはこの設定をサポートしています。
しかし、Nginxには、sslhなしの解決策があります。HTTPCONNECTを実装するカスタムNginxモジュールの形で考えます。 https://github.com/chobits/ngx_http_proxy_connect_module
これを使用することで、ssh構成でProxyCommandのみを適切に使用できるようになります。