jumpServer特殊案例之用nginx代理实现异地内网访问
jumpServer奇葩案例之用nginx反向代理实现异地内网访问
一、背景
本来处理完 [jumpServer windwos RDP网络不可达、安全策略错误]: https://www.qipanet.com/itClass/284.html 之后,应该算完事了。但是刚想走人,甲方爸爸又说要在子公司内网能访问,并且出于保密需要,不希望给下属公司知道上级公司的公网IP以及相关端口信息。了解完需求后,给我的第一反应是这个需求真的奇葩啊。不管了,反正给加$就好办:smile:。
环境大概这样:总公司、子公司出口都有防火墙,总公司jumpServer和子公司的linux系统都部署在esxi上,子公司人员只能先访问linux,由linux做跳转到jumpServer上。
二、构思及实践
话说上述提到的需求,不就很普通的反向代理就能实现吗,对我来说好像没啥难度!用caddy、nginx等都可以做到。为啥不在子公司上再装个jumpServer再连接到总公司的jms呢?理论上可以做,但是这样做效率太低了,体验应该比较差。
首先要将jumpServer端口映射到公网。这里有个小坑,虽然用的是专线,但是某地的运营商连8080端口都给封禁的,导至做端口映射时怎么搞都连接不上。display firewall session table verbose ...查到的会话都是0!后来换个端口就成功了。
还遇到过连ping都被禁的,搞不懂运营商为啥要这么做,这是要墙墙联合啊!
端口映射做完并测试没问题后,需要做security-policy策略,确保只能从子公司的公网IP访问。接下来就需要在子公司的linux上做反向代理服务了。一开始想用caddy的,但是安装到80%的时候就卡住了。查了下netstat,发现有80端口在占用,毕竟是别人的服务,不好动。好消息时,偶然看到了80端口的服务是在docker里跑的,而且docker ps看到服务用的正是nginx。那还装啥docker,直接docker run nginx另起一个容器就是。
简单配置完后,配置内容和启动命令大概如下:
server {
listen 80;
listen [::]:80;
server_name localhost;
#access_log /var/log/nginx/host.access.log main;
location / {
proxy_pass http:/xxx:9000/;
# root /usr/share/nginx/html;
# index index.html index.htm;
}
.....docker run --name nginx -p 8080:80 -d --restart=always -v /home/xx/docker/nginx/html:/usr/share/nginx/html -v /home/xx/docker/nginx/conf/nginx.conf:/etc/nginx/nginx.conf -v /home/xx/docker/nginx/conf/conf.d/default.conf:/etc/nginx/conf.d/default.conf -v /home/xx/docker/nginx/log:/var/log/nginx nginx
运行后发现子公司能正常打开jumpServer页面,但是登录却报错如下:
这提示很明白了,就是要到/opt/jumpserver/config里的config.txt找到domains,加上你的domain就可以了。不过我却在这浪费了些时间。由于手抖,端口9000写成了900,导致上述报错迟迟没有解决。后来还到gihtub上找了源码,打算硬改python代码来处理,当看到jumpserver/apps/jumpserver/settings/base.py里的某一块代码如下:
print("ALLOWED_HOSTS: ", )
for host in ALLOWED_DOMAINS:
print(' - ' + host.lstrip('.'))
顿时眼前一亮,直接到docker logs 查看ALLOWED_HOSTS部分信息,果然看到了端口900:cry:,改完就能正常访问了。
这nginx代理放在子公司,子公司人员不就知道所有连接信息了?别急,总公司负责人跟我说下面的人是没权访问这台虚拟机的。而且子公司网络出口设备归总公司统一管理,他们想分析也分析不了。
还没完,登录后又收到提示什么websocket不可用(connect websocket failed),浏览器F12看到有报错:
The Cross-Origin-Opener-Policy header has been ignored, because the URL's origin was untrustworthy. It was defined either in the final response or a redirect. Please deliver the response using the HTTPS protocol. You can also use the 'localhost' origin instead大概是跨域了,得治!试着加 proxy_set_header Access-Control-Allow-Origin '*';,没起作用,这里也折腾了些时间,最后直接到jumServer里复制他的配置文件(jms也是用的nginx组件做web代理)。nginx组件配置文件路径为:/opt/jumpserver/config/nginx,lb_http_server.conf就是配置文件。
复制完过来,docker restart nginx,再访问,竟然成功了,这回可以了吧!
最后配置长这样:
server {
listen 80;
listen [::]:80;
server_name localhost;
#access_log /var/log/nginx/host.access.log main;
location / {
proxy_buffering off;
proxy_request_buffering off;
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Forwarded-For $remote_addr;
# proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 如果上层还有其他 slb 需要使用 $proxy_add_x_forwarded_for 获取真实 ip
proxy_ignore_client_abort on;
proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;
send_timeout 6000;
proxy_set_header Access-Control-Allow-Origin '*';
proxy_pass http://xxxx:9000/;
# root /usr/share/nginx/html;
# index index.html index.htm;
}
三、后记
这只是其中一小部分内容,还有jumServer连接双网卡、划分vlan,配置虚拟机资源等小问题要处理,有空的话再分享吧!
顺便提下,目前接触到的==jumpServer windwos RDP网络不可达、安全策略错误==问题,主要有以下几个原因:
- 系统版本,这个上回说了。
- 使用网络级别身份验证(这个只在网上看到,我的案例中勾选了也能正常访问)
- 普通用户没有远程桌面权限访问,至少需要将用户加到Remote Desktop Users组里。
- 其它未知,等你来踩坑。。。
评论已关闭