这是一个创建于 44 天前的主题,其中的信息可能已经有所发展或是发生改变。
需求描述
1 、需通过 frp 代理本地内网的 https 服务到公网的 https[443 端口],实现域名方式访问
2 、由 frp 代理的流量,到达本地 https 安全网关服务[本案例采用 GoedgeCDN WAF],能够获取到用户的真实 IP 地址
3 、但由于本案例采用 GoedgeCDN WAF 不支持 Proxy Protocol 协议,无法利用 Proxy Protocol 协议来传递经过 frp 代理的请求的真实 IP
4 、以上只有通过 frp 的插件: http 类型的代理或者启用了 https2http 或 https2https 插件的代理支持这一功能[可以通过 HTTP/HTTPS 请求 header 中的 X-Forwarded-For 来获取用户真实 IP]
解决方案见:
https://mp.weixin.qq.com/s/V4-k8kUd1c70taGH4BIuHw
1 、需通过 frp 代理本地内网的 https 服务到公网的 https[443 端口],实现域名方式访问
2 、由 frp 代理的流量,到达本地 https 安全网关服务[本案例采用 GoedgeCDN WAF],能够获取到用户的真实 IP 地址
3 、但由于本案例采用 GoedgeCDN WAF 不支持 Proxy Protocol 协议,无法利用 Proxy Protocol 协议来传递经过 frp 代理的请求的真实 IP
4 、以上只有通过 frp 的插件: http 类型的代理或者启用了 https2http 或 https2https 插件的代理支持这一功能[可以通过 HTTP/HTTPS 请求 header 中的 X-Forwarded-For 来获取用户真实 IP]
解决方案见:
https://mp.weixin.qq.com/s/V4-k8kUd1c70taGH4BIuHw
2 条回复 • 2024-07-28 13:52:49 +08:00
 |
1
qq135449773 43 天前
没必要吧,WAF 层如果能 offload 掉 TLS ,frp 直接 tcp 协议直接把流量送到内网里的 http1.1 服务,让服务能直接拿到前置反代给出来的流量,肯定能拿到 x-forwarded-for 吧?
感觉这个组合没必要用 frp 的 https 。 没用过你说的这个 WAF ,纯猜的,不知道实际情况怎么样。 |
 |
2
weip OP  1
@qq135449773
1 、这个 waf 是其实是 cdn ,且之前国内开源了(因为政策原因),后来作者卖给第三方了,不在国内运营,你可以去 GitHub 搜下 2 、因为这个不是 nginx ,固然不能通过传统方式处理真实 IP 获取 |
Select Language