web-dev-qa-db-ja.com

proxytunnelおよびnginxを使用したHTTPS経由のSSH

Nginxを使用してhttps接続でsshをセットアップしようとしています。動作する例が見つからないので、助けていただければ幸いです。

~$ cat .ssh/config
Host example.net
  Hostname example.net
  ProtocolKeepAlives 30
  DynamicForward 8118
  ProxyCommand /usr/bin/proxytunnel -p ssh.example.net:443 -d localhost:22 -E -v -H "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)"

~$ ssh [email protected]
Local proxy ssh.example.net resolves to 115.xxx.xxx.xxx
Connected to ssh.example.net:443 (local proxy)

Tunneling to localhost:22 (destination)
Communication with local proxy:
 -> CONNECT localhost:22 HTTP/1.0
 -> Proxy-Connection: Keep-Alive
 -> User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
 <- <html>
 <- <head><title>400 Bad Request</title></head>
 <- <body bgcolor="white">
 <- <center><h1>400 Bad Request</h1></center>
 <- <hr><center>nginx/1.0.5</center>
 <- </body>
 <- </html>
analyze_HTTP: readline failed: Connection closed by remote Host
ssh_exchange_identification: Connection closed by remote Host

サーバー上のNginx設定。

~$ cat /etc/nginx/sites-enabled/ssh 
upstream tunnel {
    server localhost:22;
}
server {
    listen 443;
    server_name ssh.example.net;

    location / {
            proxy_pass http://tunnel;
            proxy_set_header Host $Host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
    }

    ssl on;
    ssl_certificate /etc/ssl/certs/server.cer;
    ssl_certificate_key /etc/ssl/private/server.key;
}

~$ tail /var/log/nginx/access.log
203.xxx.xxx.xxx - - [08/Feb/2012:15:17:39 +1100] "CONNECT localhost:22 HTTP/1.0" 400 173 "-" "-"
sshnginxsslproxyhttp-proxy
15
Thermionix

Nginxはフォワードプロキシリクエスト(HTTP CONNECTメソッド)をサポートしていません。そのため、Nginxから「Bad request」応答が返されます。 ProxytunnelはNginxに接続できますが、そこから停止します。 AFAIFのNginxの作成者は、HTTPの提供に特化したいので、フォワードプロキシリクエストをサポートする予定はありません。 Apacheにはその他すべてのモジュールがあり、エキゾチックな機能を自由に使用できます。

sslh を見ると、ポート443で着信トラフィックをNginx(127.0.0.1:443でリッスン)、SSH、またはOpenVPNのいずれかに多重化できます。 Nginxがリッスンしている0.0.0.0と重複するため、sslh127.0.0.1:433ではなくパブリックIPアドレスでリッスンするようにしてください。

別のオプションはSquidを使用することですが、私はそこでの経験がありません。

10
vdboor

Nginxは着信接続をHTTPとして扱い、HTTPでアップストリームと通信できることを期待しているので、私はこの種の設定を見たことがなく、うまくいくか疑問です。 nginxを介してプロキシする理由は何ですか?

0
mgorven

これは古い質問ですが、それでも実際:-)

他の人が言及したように、Nginxで利用可能なHTTP CONNECTメソッドがないため、この設定はほとんど利用できません。

注:Apache Webサーバーはこの設定をサポートしています。

しかし、Nginxには、sslhなしの解決策があります。HTTPCONNECTを実装するカスタムNginxモジュールの形で考えます。 https://github.com/chobits/ngx_http_proxy_connect_module

これを使用することで、ssh構成でProxyCommandのみを適切に使用できるようになります。

0
kensai