文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

OPENWRT 使用nginx作为web服务器

2023-09-07 13:41

关注

在op上大家使用nginx作为web服务器,主要是为了其强大的反向代理功能,但op上的nginx官方做了一定的修改,配置上稍显复杂,几篇文章也是比较老的,配置也是一头雾水,作业都不好抄,索性自己查了资料学了些nginx的内容,实现了如下的功能:

外网 OP 内网 通过https+域名访问开放的端口 拒绝未开放的端口和http请求 内网ip地址直接访问OP 放行内网的访问请求 外网 OP 内网

####默认你已经完成 域名申请,配置DDNS 和 申请ssl证书的操作。

修改UCI控件

OP把uci配置加于nginx的配置之上,所以第一步先关闭uci的配置管理。
其实第三篇参考文章(官方文档)已经讲的很清楚了,如果你需要简单的管理nginx,用uci就够了,需要自己配置nginx的就关闭uci管理。
那当然是关闭啦:
第一种优雅的方式,登录后台命令行输入:

uci set nginx.global.uci_enable=false
uci commit nginx

这两步关闭了uci的配置接管
第二种直接的方式,修改/etc/config/nginx:

config main 'global'#把这里的true修改为false就行了option uci_enable 'false'config server '_lan'option server_name '_lan'list include 'restrict_locally'list include 'conf.d/*.locations'option uci_manage_ssl 'self-signed'option ssl_certificate '/etc/nginx/conf.d/_lan.crt'option ssl_certificate_key '/etc/nginx/conf.d/_lan.key'option ssl_session_cache 'shared:SSL:32k'option ssl_session_timeout '64m'option access_log 'off; # logd openwrt'config server '_redirect2ssl'list listen '80'list listen '[::]:80'option server_name '_redirect2ssl'option return '302 https://$host$request_uri'

修改之后,重启后nginx也不再受到uci的管理了,其实到这里剩下的配置就和常规nginx一样了。

解除内网访问http重定向到https的问题

修改/etc/nginx/nginx.conf这个配置文件:
那我这里就贴出具体修改的代码块

server { #see uci show 'nginx._lan'listen 443 ssl default_server;listen [::]:443 ssl default_server;server_name _lan;include restrict_locally;include conf.d/*.locations;ssl_certificate /etc/nginx/conf.d/_lan.crt;ssl_certificate_key /etc/nginx/conf.d/_lan.key;ssl_session_cache shared:SSL:32k;ssl_session_timeout 64m;access_log off; # logd openwrt;}server { #see uci show 'nginx._redirect2ssl'listen 80;listen [::]:80;server_name _redirect2ssl;return 302 https://$host$request_uri;}

修改为:

   server { #see uci show 'nginx._lan'   listen 80;   listen [::]:80;   server_name _lan;   include restrict_locally;   include conf.d/*.locations;   access_log off; # logd openwrt;   }

这里解释一下,好多文章是留下了 _redirect2ssl这个虚拟服务器配置,这里保留哪个虚拟服务器并不影响使用,只是/etc/nginx/目录下有个lan的配置,凭感觉来的。

这个就是本地web端,即OP的管理页面:

   include conf.d/*.locations;

这个是局域网保留网段的过滤,使得只能内网ip才能访问op的管理页面:

   include restrict_locally;

加上国内三大运营商默认ban了80端口443端口等一系列常见端口,其实某种意义上讲非常安全。

修改好配置后,命令行输入:

nginx -t

检查一下配置是否存在低级的语法错误。
在输入重载重启nginx命令:

service nginx reload
service nginx restart

至此内网通过ip访问就不会再强制https访问了

添加SSL证书

网上教你怎么申请ssl证书的非常多,现在好多是通过acme.sh脚本自动申请,另外就是通过域名提供商申请免费的ssl证书,
这里就不再赘述了,自行搜索。
nginx添加ssl证书就是声明一下ssl_certificate和ssl_certificate_key两个值就行了,这里提供一种全局添加的方式。
修改/etc/nginx/nginx.conf这个配置文件:

   gzip_proxied any;      root /www;      #####将以下内容添加到配置文件中#####      # Mozilla Intermediate configuration   ssl_protocols          TLSv1.2 TLSv1.3;   #以下协议需要确认硬件是否支持,如果不支持或者不确定可以直接去除   ssl_ciphers            ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;      #以下修改为自己申请的域名公钥和私钥文件地址   ssl_certificate /etc/nginx/conf.d/example.com.crt;   ssl_certificate_key /etc/nginx/conf.d/example.com.key;   #以上修改为自己申请的域名公钥和私钥文件地址   ssl_session_cache shared:SSL:32k;   ssl_session_timeout 64m;      #####将以上内容添加到配置文件中#####      server { #see uci show 'nginx._lan'

添加好后重载并重启nginx服务。
修改好后就有个全局的ssl证书声明,如果你有多个域名需要反向代理,那就需要为每个不同域名对应的服务器配置对应的ssl证书了。

添加反向代理

一般来说,需要外网的服务,直接做一个端口转发到内网指定ip的指定端口就行了:

外网 OP 内网服务 通过域名加端口访问 转发外网的访问请求 外网 OP 内网服务

但是使用nginx反向代理的话,外网数据首先要转发到op端的指定端口再由op上的nginx转发给局域网ip

外网 OP.NGINX 内网服务 通过域名加端口访问op的nginx服务器 nginx判断是否转发外网的访问请求 外网 OP.NGINX 内网服务

所以记得在op->防火墙->端口转发中将对应端口转发到op的本地端口:
在这里插入图片描述
我这里按照nginx的习惯做法,在/etc/nginx/conf.d目录下创建了一个example.com.conf的配置文件:

server {   #一般加ssl后缀就可以了,我这里添加了对http2协议的要求。   listen 9080 ssl http2;   listen [::]:9080 ssl http2;   #修改为自己申请的域名   server_name example.com;   location / {   #修改为自己需要代理的局域网ip和端口号   proxy_pass http://localserver:9080;   proxy_set_header Host $host;   #以下配置文件是参考配置网站生成的配置不添加也没问题   include nginxconfig.io/proxy.conf;   }   access_log on; # logd openwrt;   # location / { ... } # root location for this server.}

添加好后测试配置是否存在语法问题,重载并重启nginx服务,如果发现通过域名访问失败时,先不要慌。
1.在内网通过nginx所在服务器加配置的端口号访问一下,确认内网服务是否正常
2.确认域名动态解析是否生效正确
3.以上都不是,那可能你开放的端口被运营商ban了,换个端口吧

这里贴出/etc/nginx/nginxconfig.io/proxy.conf的配置内容

proxy_http_version                 1.1;proxy_cache_bypass                 $http_upgrade;# Proxy SSLproxy_ssl_server_name              on;# Proxy headersproxy_set_header Upgrade           $http_upgrade;proxy_set_header X-Real-IP         $remote_addr;proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_set_header X-Forwarded-Host  $host;proxy_set_header X-Forwarded-Port  $server_port;# Proxy timeoutsproxy_connect_timeout              60s;proxy_send_timeout                 60s;proxy_read_timeout                 60s;

这些改动都是参考NGINX配置生成网站的demo修改的,自行斟酌添加:NGINX 配置配置高性能、安全、稳定的NGINX服务器的最简单方法.

添加外网访问http自动转为https

到这里其实已经可以正常访问了,但是如果你用http去访问一个强制https访问的端口就会出现nginx的400报错,意思你该用https访问。
这里你自然可以参考内网http强制转https的写法,但我记得我测试有点问题,我这里贴出一个最近找到的对于域名访问全部重定向为https的方法,当然你也可以修改端口为指定端口:

server {              listen example.com;                 server_name example.com;            rewrite ^/(.*)$ https://$host$1 permanent;                         }

主要参考文章

K3终极折腾记<三> --通过ipv6域名远程访问openwrt、https证书安装配置.
OpenWrt 上设置 nginx HTTP 不重定向到 HTTPS 以正常使用 OpenClash yacd 面板.
Nginx webserver.

来源地址:https://blog.csdn.net/m0_46645810/article/details/129034751

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯