Einrichten der Kommunikation vom Forwardproxy zum Reverseproxy mithilfe von tinyproxy

tag-icon tag-icon linux debian proxy reverse-proxy tinyproxy
Einrichten der Kommunikation vom Forwardproxy zum Reverseproxy mithilfe von tinyproxy

Ich habe Probleme, einen Forward-Proxy mit dem Reverse-Proxy zu verbinden. Beide werden von tinyproxy (Version 1.8.3) unterstützt. Ich weiß nicht, ob es ein Konfigurationsproblem ist.

Ich teste diese Proxys mit 4 virtuellen Maschinen, auf denen Debian GNU/Linux 8.9 (Jessie) läuft. Diese Maschinen stellen einen Client, einen Forward-Proxy, einen Reverse-Proxy und den Server dar. Ich richte die Kommunikation zwischen dem Forward- und dem Reverse-Proxy ein.

Auf dem Server wird ein Apache-Server ausgeführt, der die Standard-HTML-Seite mit der Meldung „Es funktioniert“ zurückgibt.

Das gewünschte Verhalten besteht darin, dass der Client mit dem Server über den Forward-Proxy kommuniziert, der zum Reverse-Proxy vorgelagert ist, der wiederum mit dem Server interagiert: Client (10.0.2.33) -> Forward-Proxy (10.0.2.35) -> Reverse-Proxy (10.0.2.36) -> Server (10.0.2.34).

Um das System zu testen, verwende ich diesen Curl-Befehl auf dem Client-Rechner:

curl -v --proxy http://10.0.2.35:8888 http://10.0.2.34:80/

Forward-Proxy-Konfigurationsdatei:

## tinyproxy.conf -- tinyproxy daemon configuration file

User nobody
Group nogroup

Port 8888
Listen 10.0.2.35
BindSame yes
Timeout 600

DefaultErrorFile "/usr/share/tinyproxy/default.html"
StatFile "/usr/share/tinyproxy/stats.html"
Logfile "/var/log/tinyproxy/tinyproxy.log"
#Syslog On
LogLevel Info
PidFile "/var/run/tinyproxy/tinyproxy.pid"

#Upstream 10.0.2.36:8888 "10.0.2.0/24"
Upstream 10.0.2.36:8888

MaxClients 100
MinSpareServers 2
MaxSpareServers 5
StartServers 2
MaxRequestsPerChild 0

Allow 127.0.0.1
Allow 10.0.2.0/24

ViaProxyName "tinyproxy1"

ConnectPort 8888
ConnectPort 80

# The following two ports are used by SSL.
ConnectPort 443
ConnectPort 563

Reverse-Proxy-Konfigurationsdatei:

## tinyproxy.conf -- tinyproxy daemon configuration file

User nobody
Group nogroup

Port 8888
Listen 10.0.2.36

BindSame yes
Timeout 600

StatFile "/usr/share/tinyproxy/stats.html"
Logfile "/var/log/tinyproxy/tinyproxy.log"
#Syslog On
LogLevel Info
PidFile "/var/run/tinyproxy/tinyproxy.pid"

no upstream "10.0.2.34:80"
#no upstream "."

MaxClients 5
MinSpareServers 2
MaxSpareServers 5
StartServers 2

MaxRequestsPerChild 0

Allow 127.0.0.1
Allow 10.0.2.0/24
Allow 10.0.2.35

ViaProxyName "tinyproxy2"

ConnectPort 8888
ConnectPort 80

# The following two ports are used by SSL.
ConnectPort 443
ConnectPort 563

ReversePath "/" "http://10.0.2.34:80/"
ReversePath "/wired/" "http://www.wired.com/"

ReverseOnly Yes
ReverseMagic Yes
ReverseBaseURL "http://10.0.2.34:80/"

Dies sind die von Wireshark erfassten TCP-Datenströme:

Flow [Client <-> Forward-Proxy]

GET http://10.0.2.34:80/ HTTP/1.1
User-Agent: curl/7.38.0
Host: 10.0.2.34
Accept: */*
Proxy-Connection: Keep-Alive

HTTP/1.0 400 Bad Request
Via: 1.1 tinyproxy1 (tinyproxy/1.8.3)
Server: tinyproxy/1.8.3
Content-Type: text/html

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html>
<head><title>400 Bad Request</title></head>
<body>
<h1>Bad Request</h1>
<p>Request has an invalid URL</p>
<hr />
<p><em>Generated by tinyproxy version 1.8.3.</em></p>
</body>
</html>

Ablauf [Forwardproxy <-> Reverseproxy]

GET http://10.0.2.34:80/ HTTP/1.0
Host: 10.0.2.34
Connection: close
Via: 1.1 tinyproxy1 (tinyproxy/1.8.3)
User-Agent: curl/7.38.0
Accept: */*

HTTP/1.0 400 Bad Request
Server: tinyproxy/1.8.3
Content-Type: text/html
Connection: close

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html>
<head><title>400 Bad Request</title></head>
<body>
<h1>Bad Request</h1>
<p>Request has an invalid URL</p>
<hr />
<p><em>Generated by tinyproxy version 1.8.3.</em></p>
</body>
</html>

Dies sind die Ausgaben für die Tinyproxy-Protokolldatei:

Weiterleitungsproxy

CONNECT   Dec 10 22:05:08 [2788]: Connect (file descriptor 6): 10.0.2.33 [10.0.2.33] at [10.0.2.35]
CONNECT   Dec 10 22:05:08 [2788]: Request (file descriptor 6): GET http://10.0.2.34:80/ HTTP/1.1
INFO      Dec 10 22:05:08 [2788]: Found upstream proxy 10.0.2.36:8888 for 10.0.2.34
CONNECT   Dec 10 22:05:08 [2788]: Established connection to upstream proxy "10.0.2.36" using file descriptor 7.
INFO      Dec 10 22:05:08 [2788]: Closed connection between local client (fd:6) and remote client (fd:7)

Reverseproxy

CONNECT   Dec 10 22:05:08 [4487]: Connect (file descriptor 6): 10.0.2.35 [10.0.2.35] at [10.0.2.36]
CONNECT   Dec 10 22:05:08 [4487]: Request (file descriptor 6): GET http://10.0.2.34:80/ HTTP/1.0
ERROR     Dec 10 22:05:08 [4487]: Bad request
INFO      Dec 10 22:05:08 [4487]: no entity

Derzeit kann ich auf die Serverseite innerhalb der Reverse-Proxy-Maschine zugreifen, indem ich „curl“http://10.0.2.34:80/Undhttp://10.0.2.36:8888/wegen meiner Reverse-Proxy-Konfiguration (ReversePath). Das nächste Bild zeigt die Wireshark-Erfassung in der Reverse-Proxy-Maschine.

Bild vom Reverse-Proxy-Zugriff auf Server-Captures

Mit dieser gesamten Konfiguration erhalte ich auf dem Client-Rechner nur die Fehlermeldung 400 „Ungültige Anforderung“ vom Reverse-Proxy.

Antwort1

Dieses Problem wurde behoben. Dies lässt sich testen, indem die Seite nicht direkt beim Server, sondern beim Reverse-Proxy-Rechner angefordert wird. Außerdem sollte der Forward-Proxy den Datenverkehr nicht zum Reverse-Proxy weiterleiten.

Der Reverseproxy kann die an den Host/Server gesendete Anfrage nicht verstehen, wenn der Forwardproxy den Datenverkehr weiterleitet, da sie anders funktionieren.

Die richtige Konfiguration für den Forwardproxy muss die Zeile ausschließen:

upstream 10.0.2.36:8888

Denn beim Reverseproxy gilt folgende Regel:

ReversePath “/” “http://10.0.2.34:80/”

Bei der Anforderung der Serverressource (die Seite „So funktioniert es“ von Apache) fordert der Reverse-Proxy (10.0.2.36) den Server (10.0.2.34) an, sobald wir anfordern „http://10.0.2.36:8888/

Wir sollten curl zum Reverse-Proxy mit folgendem ausführen:

curl -v --proxy http://10.0.2.35:8888 http://10.0.2.36:8888/

Dann können wir sehen, dass die Konfiguration funktioniert, mit der folgenden Ausgabe:

root@debian:/home/debian# curl -v --proxy http://10.0.2.35:8888 http://10.0.2.36:8888
* Rebuilt URL to: http://10.0.2.36:8888/
* Hostname was NOT found in DNS cache
*   Trying 10.0.2.35...
* Connected to 10.0.2.35 (10.0.2.35) port 8888 (#0)
> GET http://10.0.2.36:8888/ HTTP/1.1
> User-Agent: curl/7.38.0
> Host: 10.0.2.36:8888
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 200 OK
< Via: 1.0 tinyproxy2 (tinyproxy/1.8.3), 1.1 tinyproxy1 (tinyproxy/1.8.3)
< Last-Modified: Mon, 11 Jun 2007 18:53:14 GMT
< Date: Tue, 12 Dec 2017 23:01:37 GMT
< Content-Type: text/html
< ETag: "2d-432a5e4a73a80"
< Set-Cookie: yummy_magical_cookie=/; path=/
* Server Apache/2.4.29 (Unix) is not blacklisted
< Server: Apache/2.4.29 (Unix)
< Content-Length: 45
< Accept-Ranges: bytes
< 
<html><body><h1>It works!</h1></body></html>
* Connection #0 to host 10.0.2.35 left intact

verwandte Informationen