プロキシサーバ構築の目的はいろいろあるが、ここでは外部へのWebアクセスの踏み台の役割を果たすサーバの構築を行う。プロキシサーバ無しのアクセスだと、直接接続しているネットワークからアクセス先にダイレクトにアクセスするため、直接接続したネットワークの管理者にはどこにアクセスしているのかや、httpsが無ければどんなデータが流れているのかを知られてしまう。それを回避するためにプロキシサーバを利用する。
httpsならば問題ないが生のhttpでは、プロキシサーバを経由しても通信内容を読み取られるため、プロキシを経由してどこにアクセスしているかは監視される。そこで、プロキシサーバまでのすべての通信を暗号化し、足元のネットワーク管理者にどこにアクセスしているかを知られないようにする。なぜそのようなことが必要かといえば、とりあえず足元のネットワークが怪しい場合などのセキュリティ対策など。。。
ブラウザはfirefoxを想定する。ブラウザからプロキシサーバまではhttp/2を用いる。http/1.1ではプロキシサーバまでの暗号化が難しいため、http/2を用いる。サーバ側ではnghttpxコマンドでhttp/2のプロキシサーバを立てるが、nghttpxはフロントエンドのみで、実際のフォワードプロキシは別のサーバが担う。ここでは同一サーバ上のapacheで認証付きのフォワードプロキシサーバを構築する。
フロントエンドとなるhttp/2のプロキシサーバを構築する。
nghttp2パッケージをインストールする。「utils」USEフラグを有効にしないと、nghttpxコマンドなどはインストールされない。ちなみに、apache2で「http2」USEフラグを有効にすると、nghttp2が依存関係でインストールされる。apacheのhttp2にはnghttp2が利用されているらしい。
> emerge -av nghttp2
インストール後は、nghttpxコマンドでhttp/2プロキシサーバを起動する。
> nghttpx -D --user=nobody -s -f'FRONT_PROXY_ADDR,PORT' -b'BACKEND_PROXY_ADDR,PORT' privkey.pem fullchain.pem
適当なところに以下の設定を記載する。https側の設定ではなくhttpサーバの設定に書く。
<IfModule mod_proxy.c>
# フォワードプロキシ機能を有効化
ProxyRequests On
# プロキシ経由のヘッダをつけない(必要に応じて設定)
ProxyVia Block
# プロキシサーバのアクセス制限
<Proxy "*">
# フォワードプロキシにアクセスするためにダイジェスト認証をかける
AuthType Digest
AuthName "RCPS_PROXY"
AuthUserFile /etc/apache2/htpasswd_digest
# 認証されたユーザで、かつローカルホストからのみアクセスを許可
# ORではなくAND条件にするためにRequireAllが必要:apache2.4から
<RequireAll>
Require valid-user
Require ip 127.0.0.1
</RequireAll>
</Proxy>
</IfModule>
firefoxの設定画面からでは、http/2のセキュアプロキシを利用する設定が直接できないのでPACファイルを用意し、「自動プロキシ設定スクリプト」としてい読み込ませる。内容は以下。
function FindProxyForURL(url, host) {
return "HTTPS PROXY_ADDR:PORT";
}
PROXY_ADDRには、nghttpxが起動しているサーバのFQDNを指定する。IPアドレスではなく、証明書に記載されているホスト名にする必要がある。PORTはnghttpxで指定したポート。