reverse proxy Дополнительные возможности для reverse-proxy

[NetworK]

Привет.

Использую Keen Ultra 1811. В роутере есть reverse-proxy, я довольно активно использую, хотелось бы добавить следующую возможность:

Сейчас если домена 4 уровня или любого другого нет в "доменное имя", то если указать А запись, будет 403 ответ. Т.е. reverse proxy, все ищет у себя, и если не находит, отдает 403, я бы хотел в настройках указывать следующий прокси или адрес и порт. Что бы если прокси на роутере не нашел, то делал сквозной трафик уже на адрес который я укажу в настройках. Для чего это нужно, когда много разных доменов, заводить их в роутер не самое удобное занятие через консоль, хотелось бы оставить в роутере только домены относящие к роутеру, а всё остальное можно было бы перенаправить на другой прокси, где уже принимать и роутить трафик по 80/443 портам. 

 

Плюсы: порт 80/443 остается за кинетиком, в случае когда нужен доступ к самому кинетику, в случае настройки, я могу спокойно принимать трафик по другим доменам, не меняя порты у роутера и не возиться в консоли, что бы добавить все домены и поддомены. Т.е. хотелось бы расширить возможности в этой области.

 

Так же, хотелось бы узнать какие точно заголовки пробрасываются при настройке x-real-ip, т.к. на версии 4.2.6.3, мне не удается поймать заголовки с host, трафик идет будто без проброса полных заголовков, в итоге я направляю на следующий прокси по разным портам, тоже не самое приятные занятие.

 

Заранее благодарю, и надеюсь смогу получить ответы, или запланировать такие работы.

[Le ecureuil]

Заголовки вот такие:

Цитата

      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Forwarded-Port $ndm_server_port;
 

У нас на самом деле сложно сделать то, что вы хотите, поскольку в случае отсутствия proxy все редиректится в обычный веб. У вас показывает 403 только потому что запрещен доступ снаружи. Если же он разрешен, то вы будете видеть просто веб интерфейс.

[NetworK]

12 минут назад, Le ecureuil сказал:

Заголовки вот такие:

У нас на самом деле сложно сделать то, что вы хотите, поскольку в случае отсутствия proxy все редиректится в обычный веб. У вас показывает 403 только потому что запрещен доступ снаружи. Если же он разрешен, то вы будете видеть просто веб интерфейс.

По заголовкам хочется так же видеть proxy_set_header host $host

Если взять логику, что по умолчанию мы всегда идем в веб, почему нельзя расширить логику (ip роутера, fqdn - could, hostname) - идем в веб, + правила по reverse-proxy, если ничего более не задано, так же. Если же у меня в настройках стоит, грубо - "следующий прокси" - "адрес + порт", то дефортный роутер, если не совпадает ни с чем, что выше - идет в мой "следующий прокси". Я не вижу прям сильных сложностей в части реализации правил.

Благодарю, за быстрый ответ.

[Le ecureuil]

22 часа назад, NetworK сказал:

По заголовкам хочется так же видеть proxy_set_header host $host

ip http proxy preserve-host

[Le ecureuil]

22 часа назад, NetworK сказал:

Если взять логику, что по умолчанию мы всегда идем в веб, почему нельзя расширить логику (ip роутера, fqdn - could, hostname) - идем в веб, + правила по reverse-proxy, если ничего более не задано, так же. Если же у меня в настройках стоит, грубо - "следующий прокси" - "адрес + порт", то дефортный роутер, если не совпадает ни с чем, что выше - идет в мой "следующий прокси". Я не вижу прям сильных сложностей в части реализации правил.

Веб уже сейчас имеет правило "сам web + все wildcard на нем, которые не заняты proxy". Не забывайте, то часть людей ходит по domain.keenetic.link, часть по www.domain.keenetic.link, часть еще по неизвестным поддоменам. Ваша логика сломает такое поведение.

[MDP]

4 минуты назад, Le ecureuil сказал:

Веб уже сейчас имеет правило "сам web + все wildcard на нем, которые не заняты proxy". Не забывайте, то часть людей ходит по domain.keenetic.link, часть по www.domain.keenetic.link, часть еще по неизвестным поддоменам. Ваша логика сломает такое поведение.

использование www кажись экологи запретили...из-за большого расхода электричества, тоннера и бумаги ...они вот высчитали))))

[NetworK]

3 часа назад, Le ecureuil сказал:

ip http proxy preserve-host

Спасибо! Я нашел так же возможность прокидывать:

ip http proxy {name} preserve-referer — preserve Referer header for {name} of the web proxy rule.

ip http proxy {name} preserve-origin — preserve Origin header for {name} of the web proxy rule.

Где бы полную доку глянуть?

 

3 часа назад, Le ecureuil сказал:

Веб уже сейчас имеет правило "сам web + все wildcard на нем, которые не заняты proxy". Не забывайте, то часть людей ходит по domain.keenetic.link, часть по www.domain.keenetic.link, часть еще по неизвестным поддоменам. Ваша логика сломает такое поведение.

Я вообще не планировал реализацию во всей общей массе, что бы все такое настраивали, тут видится два варианта:

1) Через UI, где написано Atencion, данная настройка перенастраивает внутренний reverse-proxy, keenetic UI будет доступен только по адресам - и перечисление адресов (формулировку можно уточнить). Так же можно сделать окошко, с подтверждением, что "ты понимаешь, что ты делаешь". 

2) Так же как и с заголовками, идем в консоль и забиваем туда ip http proxy-end-upstream {host} {port}, по умолчанию оставляем там (что сейчас 127.0.0.1?), если настройка задана, то все что выше по правилам (reverse-proxy, fqdn, hostname, ip router, еще что? - my.keenetic.net) идет как и раньше, все остальное идет в proxy-end-upsteam.

Хотелось бы, конечно, подружелюбнее в UI, но меня устроил бы и вариант через консоль. Если при этом будет подсказка (уведомление, что бы не забыть) где в UI, что задан этот параметр, тоже вполне будет комфортно.