Proxy#
Permite hacer proxy de flujos de datos sobre TCP, UDP y sockets de dominio UNIX.
Ejemplo de configuración#
server {
listen 127.0.0.1:12345;
proxy_pass 127.0.0.1:8080;
}
server {
listen 12345;
proxy_connect_timeout 1s;
proxy_timeout 1m;
proxy_pass example.com:12345;
}
server {
listen 53 udp reuseport;
proxy_timeout 20s;
proxy_pass dns.example.com:53;
}
server {
listen [::1]:12345;
proxy_pass unix:/tmp/stream.socket;
}
Directivas#
proxy_bind#
Hace que las conexiones salientes a un servidor proxy se originen desde la dirección IP local especificada. El valor del parámetro puede contener variables. El valor especial off cancela el efecto de la directiva proxy_bind heredada del nivel de configuración anterior, lo que permite que el sistema asigne automáticamente la dirección IP local.
El parámetro transparent permite que las conexiones salientes a un servidor proxy se originen desde una dirección IP no local, por ejemplo, desde la dirección IP real de un cliente:
proxy_bind $remote_addr transparent;
Para que este parámetro funcione,
los procesos worker de Angie normalmente deben ejecutarse
con privilegios de superusuario.
En Linux no es necesario:
si se especifica el parámetro transparent,
los procesos worker heredan la capacidad CAP_NET_RAW del proceso maestro.
Nota
También debe configurarse la tabla de enrutamiento del kernel para interceptar el tráfico de red desde el servidor proxy.
proxy_buffer_size#
Establece el tamaño del buffer usado para leer datos desde el servidor proxy. También establece el tamaño del buffer usado para leer datos desde el cliente.
proxy_connect_timeout#
Define un tiempo de espera para establecer una conexión con un servidor proxy.
proxy_connection_drop#
| |
Predeterminado |
|
stream, server |
Habilita la finalización de todas las sesiones hacia el servidor proxy después de que haya sido eliminado del grupo o marcado como permanentemente no disponible por un proceso reresolve o por el comando API DELETE.
Una sesión se termina cuando se procesa el siguiente evento de lectura o escritura tanto para el cliente como para el servidor proxy.
Configurar tiempo habilita un tiempo de espera de finalización de sesión;
con on, las sesiones se cierran inmediatamente.
proxy_download_rate#
Limita la velocidad de lectura de datos desde el servidor proxy. La velocidad se especifica en bytes por segundo.
| desactiva la limitación de velocidad |
Nota
El límite se establece por conexión, por lo que si Angie abre dos conexiones simultáneamente al servidor proxy, la velocidad total será el doble del límite especificado.
El valor del parámetro puede contener variables. Puede resultar útil en casos donde la velocidad deba limitarse según una condición determinada:
map $slow $rate {
1 4k;
2 8k;
}
proxy_download_rate $rate;
proxy_half_close#
Habilita o deshabilita el cierre independiente de cada dirección de una conexión TCP ("TCP half-close"). Si está habilitado, el proxy sobre TCP se mantendrá hasta que ambas partes cierren la conexión.
proxy_next_upstream#
Cuando no se puede establecer una conexión con el servidor proxy, determina si la conexión del cliente se pasará al siguiente servidor en el grupo upstream.
El paso de una conexión al siguiente servidor puede limitarse mediante el número de intentos y por tiempo.
proxy_next_upstream_timeout#
| |
Predeterminado |
|
stream, server |
Limita el tiempo permitido para pasar una conexión al siguiente servidor.
| desactiva esta limitación |
proxy_next_upstream_tries#
| |
Predeterminado |
|
stream, server |
Limita el número de intentos posibles para pasar una conexión al siguiente servidor.
| desactiva esta limitación |
proxy_pass#
Establece la dirección de un servidor proxy. La dirección puede especificarse como un nombre de dominio o dirección IP, y un puerto:
proxy_pass localhost:12345;
o como una ruta de socket de dominio UNIX:
proxy_pass unix:/tmp/stream.socket;
Si un nombre de dominio se resuelve en varias direcciones, todas se usarán en modo round-robin. Además, una dirección puede especificarse como un grupo de servidores.
La dirección también puede especificarse usando variables:
proxy_pass $upstream;
En este caso, el nombre del servidor se busca entre los grupos de servidores descritos y, si no se encuentra, se determina usando un resolver.
proxy_protocol#
Habilita el protocolo PROXY para conexiones a un servidor proxy.
proxy_protocol_tlv#
Added in version 1.11.0.
Añade un TLV a la cabecera del protocolo PROXY v2 enviada a un servidor proxy. El valor puede contener variables. El nombre puede ser un nombre de tipo TLV o su valor numérico; en este último caso, el valor se especifica en hexadecimal y debe comenzar con 0x. Para TLVs SSL, use el prefijo ssl_; el nombre especial ssl_verify establece el campo verify del TLV SSL. La directiva se usa solo con proxy_protocol_version establecido en 2.
proxy_protocol_version#
Establece la versión del protocolo PROXY usada para conexiones a un servidor proxy. La configuración es efectiva cuando proxy_protocol está habilitado. La versión 2 permite enviar TLVs configurados por la directiva proxy_protocol_tlv.
proxy_requests#
Establece el número de datagramas de cliente en el que se elimina el enlace entre un cliente y una sesión de flujo UDP existente. Después de recibir el número especificado de datagramas, el siguiente datagrama del mismo cliente inicia una nueva sesión. La sesión termina cuando todos los datagramas del cliente se transmiten a un servidor proxy y se recibe el número esperado de respuestas, o cuando alcanza un tiempo de espera.
proxy_responses#
Establece el número de datagramas esperados desde el servidor proxy en respuesta a un datagrama de cliente si se usa el protocolo UDP. El número sirve como pista para la finalización de la sesión. Por defecto, el número de datagramas no está limitado.
Si se especifica el valor cero, no se espera respuesta. Sin embargo, si se recibe una respuesta y la sesión aún no ha terminado, la respuesta será procesada.
proxy_socket_keepalive#
| |
Predeterminado |
|
stream, server |
Configura el comportamiento de "TCP keepalive" para conexiones salientes a un servidor proxy.
| Por defecto, se aplican los ajustes del sistema operativo para el socket. |
| La opción de socket SO_KEEPALIVE está activada para el socket. |
proxy_ssl#
Habilita el protocolo SSL/TLS para conexiones a un servidor proxy.
proxy_ssl_certificate#
Especifica un archivo con el certificado en formato PEM usado para la autenticación con un servidor proxy. Se pueden usar variables en el nombre del archivo.
Cuando proxy_ssl_ntls está habilitado, la directiva acepta dos argumentos en lugar de uno:
server {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass backend:12345;
}
proxy_ssl_certificate_cache#
| |
Predeterminado |
|
stream, server |
Define una caché que almacena certificados SSL y claves secretas especificados usando variables.
La directiva admite los siguientes parámetros:
max— establece el número máximo de elementos en la caché. Cuando la caché se desborda, se eliminan los elementos menos utilizados recientemente (LRU).inactive— define el tiempo tras el cual un elemento se elimina si no ha sido accedido durante ese tiempo, incluso si todavía está dentro de su períodovalid; cada acceso reinicia este temporizador. El valor predeterminado es 10 segundos.valid— define el tiempo durante el cual un elemento en caché se considera válido y puede reutilizarse. El valor predeterminado es 60 segundos. Después de este período, los certificados se recargan o revalidan.off— desactiva la caché.
Ejemplo:
proxy_ssl_certificate $proxy_ssl_server_name.crt;
proxy_ssl_certificate_key $proxy_ssl_server_name.key;
proxy_ssl_certificate_cache max=1000 inactive=20s valid=1m;
proxy_ssl_certificate_key#
Especifica un archivo con la clave secreta en formato PEM usado para la autenticación con un servidor proxy.
El valor engine:`name`:id puede especificarse en lugar del archivo, lo cual carga una clave secreta con un id especificado desde el motor OpenSSL name.
El valor store:scheme:id puede especificarse en lugar del archivo, que se usa para cargar una clave secreta con un id especificado y un URI scheme de proveedor OpenSSL registrado, como pkcs11.
Se pueden usar variables en el nombre del archivo.
Cuando proxy_ssl_ntls está habilitado, la directiva acepta dos argumentos en lugar de uno:
server {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass backend:12345;
}
proxy_ssl_ciphers#
Especifica las cifras habilitadas para las solicitudes a un servidor proxy. Las cifras se especifican en el formato reconocido por la biblioteca OpenSSL.
La lista de cifras depende de la versión de OpenSSL instalada.
La lista completa puede visualizarse usando el comando openssl ciphers.
Advertencia
La directiva proxy_ssl_ciphers no configura cifras para TLS 1.3 cuando
se usa OpenSSL. Para configurar cifras TLS 1.3 con OpenSSL, use la directiva
proxy_ssl_conf_command, que se añadió para la configuración avanzada
de SSL.
En LibreSSL, las cifras TLS 1.3 pueden configurarse usando
proxy_ssl_ciphers.En BoringSSL, las cifras TLS 1.3 no pueden configurarse.
proxy_ssl_conf_command#
Establece comandos de configuración arbitrarios de OpenSSL al establecer una conexión con el servidor proxy.
Nota
La directiva es compatible cuando se utiliza OpenSSL 1.0.2 o superior.
Para configurar las cifras TLS 1.3 con OpenSSL, use el comando ciphersuites.
Se pueden especificar varias directivas proxy_ssl_conf_command en el mismo nivel. Estas directivas se heredan del nivel de configuración anterior si y solo si no se definen directivas proxy_ssl_conf_command en el nivel actual.
Advertencia
Tenga en cuenta que configurar OpenSSL directamente puede provocar un comportamiento inesperado.
proxy_ssl_crl#
Especifica un archivo con certificados revocados (CRL) en formato PEM usado para verificar el certificado del servidor proxy.
proxy_ssl_name#
| |
Predeterminado |
|
stream, server |
Permite sobrescribir el nombre de servidor usado para verificar el certificado del servidor proxy y para ser enviado a través de SNI al establecer una conexión con el servidor proxy. El nombre del servidor también puede especificarse usando variables.
Por defecto, se utiliza el nombre de host de la dirección especificada en la directiva proxy_pass.
proxy_ssl_ntls#
Habilita el soporte del lado cliente para NTLS al usar la biblioteca TLS TongSuo.
server {
proxy_ssl_ntls on;
proxy_ssl_certificate sign.crt enc.crt;
proxy_ssl_certificate_key sign.key enc.key;
proxy_ssl_ciphers "ECC-SM2-WITH-SM4-SM3:ECDHE-SM2-WITH-SM4-SM3:RSA";
proxy_pass backend:12345;
}
Nota
Angie debe compilarse usando el parámetro de configuración --with-ntls, con la biblioteca SSL correspondiente con soporte NTLS
./configure --with-openssl=../Tongsuo-8.3.0 \
--with-openssl-opt=enable-ntls \
--with-ntls
proxy_ssl_password_file#
Especifica un archivo con contraseñas para claves secretas donde cada contraseña se especifica en una línea separada. Las contraseñas se prueban en orden al cargar la clave.
proxy_ssl_protocols#
| |
Predeterminado |
|
stream, server |
Habilita los protocolos especificados para las solicitudes a un servidor proxy.
proxy_ssl_server_name#
| |
Predeterminado |
|
stream, server |
Habilita o deshabilita el envío del nombre de servidor especificado por la directiva proxy_ssl_name a través de la extensión TLS Server Name Indication (SNI, RFC 6066) al establecer una conexión con el servidor proxy.
proxy_ssl_session_reuse#
| |
Predeterminado |
|
stream, server |
Determina si las sesiones SSL pueden reutilizarse al trabajar con el servidor proxy. Si en los registros aparecen errores "SSL3_GET_FINISHED:digest check failed", pruebe a desactivar la reutilización de sesiones.
proxy_ssl_trusted_certificate#
Especifica un archivo con certificados de CA confiables en formato PEM utilizado para verificar el certificado del servidor proxy.
proxy_ssl_verify#
Habilita o deshabilita la verificación del certificado del servidor proxy.
proxy_ssl_verify_depth#
Establece la profundidad de verificación en la cadena de certificados del servidor proxy.
proxy_timeout#
Establece un tiempo de espera entre dos operaciones consecutivas de lectura o escritura en conexiones del cliente o del servidor proxy. Si no se transmite ningún dato durante este tiempo, la conexión se cierra.
proxy_upload_rate#
Limita la velocidad de lectura de datos desde el cliente. La tasa se especifica en bytes por segundo.
| desactiva la limitación de velocidad |
Nota
El límite se establece por conexión, por lo que si el cliente abre simultáneamente dos conexiones, la velocidad total será el doble del límite especificado.
El valor del parámetro puede contener variables. Esto puede ser útil en casos donde la tasa deba limitarse en función de una condición específica:
map $slow $rate {
1 4k;
2 8k;
}
proxy_upload_rate $rate;