使用 nginx 进行反向代理，并且使用非443端口进行 https 通信，并且仅允许内网IP访问web页面（公网只能访问webdav） #6590

VergilGao · 2024-06-07T14:48:36Z

VergilGao
Jun 7, 2024

alist.conf:

upstream alist {
    server 192.168.32.4:5244;
    keepalive 64;
}

server {
    listen 5244 ssl;
    listen [::]:5244 ssl;
    server_name alist.example.com; 

    http2 on;

    error_page 497 https://$server_name:5244$request_uri;

    access_log /var/log/nginx/alist/access.log;
    error_log /var/log/nginx/alist/error.log;

    ssl_certificate  /etc/nginx/ssl/alist.example.com/full.pem;
    ssl_certificate_key /etc/nginx/ssl/alist.example.com/key.pem;

    include ssl.conf;
    include error_pages.conf;

    client_max_body_size 1G;

    location / {
        include proxy.conf;

        proxy_set_header Range $http_range;
        proxy_set_header If-Range $http_if_range;

        proxy_redirect off;

        proxy_pass http://alist;

        allow 192.168.16.0/24;
        deny all;
    }

    location /dav {
        proxy_http_version 1.1;

        include proxy.conf;

        proxy_set_header Range $http_range;
        proxy_set_header If-Range $http_if_range;

        proxy_redirect off;

        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_pass http://alist/dav;
    }
}

解释一下：
首先是非标准https配置

listen 5244 ssl;
listen [::]:5244 ssl;
server_name alist.example.com; 

http2 on;

error_page 497 https://$server_name:5244$request_uri;

这样就保证了即使你通过 http://alist.example.com:5244 这样的方式访问，也会跳转到 https

然后是 location 段：
在 location / 段里，配置了：

allow 192.168.16.0/24;
deny all;

这段的意思是拒绝除了内网IP内的其他所有IP的访问。
这样，我们的alist只能在局域网内访问。
但是如果我还想在公网通过webdav访问呢？比如我们用印象笔记之类的软件，会将笔记存储在webdav上，在这里我就可以把alist作为一个webdav服务器用了。
所以就有了 location /dav 段：

location /dav {
    proxy_http_version 1.1;

    include proxy.conf;

    proxy_set_header Range $http_range;
    proxy_set_header If-Range $http_if_range;

    proxy_redirect off;

    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";

    proxy_pass http://alist/dav;
}

在这段里，因为我们没有配置ip访问规则，所以无论什么来源的IP都能进行访问。
需要注意的是，我们这里的nginx服务器是直接对外服务的，如果你内网还有其他nginx服务器再进行转发，那就不在我这个帖子讨论的范畴之内了。

但是这样其实有一个很幽默的效果，就是假设你家IP地址是 1.1.1.1 ，然后别人通过 http://1.1.1.1:5244 访问，会直接跳转到 https://alist.example.com:5244 但是很多人其实是想防止别人以纯IP：端口的方式扫描来获取到域名的，你需要再配置一个 reject.conf

server {
    listen 5244 ssl default_server;
    http2 on;
    server_name  _;
    ssl_reject_handshake on;
}

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Uh oh!

使用 nginx 进行反向代理，并且使用非443端口进行 https 通信，并且仅允许内网IP访问web页面（公网只能访问webdav） #6590

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 0 comments

Select a reply

Uh oh!

Uh oh!

使用 nginx 进行反向代理，并且使用非443端口进行 https 通信，并且仅允许内网IP访问web页面（公网只能访问webdav） #6590

Uh oh!

Uh oh!

VergilGao Jun 7, 2024

Replies: 0 comments

VergilGao
Jun 7, 2024