环境信息:
服务器系统 Ubuntu 22.04.5 LTS x86_64
堡塔云WAF版本:单机版本 v5.1 / 集群版 v2.0
客户端操作系统 macOS Sequoia 15.1.1
客户端浏览器版本 Firefix 133.0.3 (aarch64)/ Google Chrome 131.0.6778.205(正式版本) (arm64) / curl 8.10.1 (aarch64-apple-darwin24.0.0)
问题复现流程:
1. 添加一个网站 test.test.dev 按照常规端口80(http) / 443(https) 添加,一切正常。
2. 再次添加一个网站test1.test.dev 选择自定义 8080(http) / 8443(https) 访问, 问题出现
问题证实:
浏览器打开 test1.test.dev:8443 访问,浏览器被重定向到了HTTPS 443端口。
浏览器打开 https://test1.test.dev:8443 访问,访问正常。
- curl -i test1.test.dev:8443
- HTTP/1.1 302 Moved Temporarily
- Server: openresty
- Date: Sat, 21 Dec 2024 09:40:38 GMT
- Content-Type: text/html
- Content-Length: 142
- Connection: close
- Location: https://test1.test.dev/
- Strict-Transport-Security: max-age=31536000
- <html>
- <head><title>302 Found</title></head>
- <body>
- <center><h1>302 Found</h1></center>
- <hr><center>openresty</center>
- </body>
- </html>
按照相关标准,在使用标准端口的时候如用户没有开启80端口则使用http:// 访问,如用户开启SSL,则使用443端口 https:// 来访问。 这里没有问题的
但堡塔WAF中增了“其他”端口 并且支持设置SSL证书,也就是支持非标端口HTTP和HTTPS访问。这时候就有一些问题。
设置一个 非标的HTTP 端口 8080 访问是没有问题的,因为不涉及重定向
但如果设置一个非标HTTPS端口 8443 访问上是有一定问题的。
使用非标端口的预期 :
8443端口开启SSL: 用户直接访问 test1.test.dev:8443 是需要重定向到 https://test1.test.dev:8443 而不是https://test1.test.dev/
非标端口下 开启和关闭强制HTTPS 应不影响非标端口重定向。而不是 将https://test1.test.dev:8443 重定向到
https://test1.test.dev/
处理建议:
通过查看nginx配置 /www/cloud_waf/nginx/conf.d/vhost 中配置文件,得知配置如下:
- ...
- error_page 497 https://$host$request_uri;
- ...
- error_page 497 https://$host:$server_port$request_uri;
先前尝试手动补充nginx配置,奈何error_page 497 配置优先级高于用户自定部分,所以无论如何解决都无济于事。也尝试手动修改配置文件,发现只要服重启也会被覆盖。无法通过手动修复
一些问题延伸:
如果开启“强制HTTPS” 时候 /www/cloud_waf/nginx/conf.d/vhost 中配置文件会多出一行
- if ($server_port !~ 443) {
- rewrite "^(/.*)[ DISCUZ_CODE_2 ]quot; https://$host$1 permanent;
- }
- curl -i https://test1.test.dev:8443/
- HTTP/2 301
- server: openresty
- date: Sat, 21 Dec 2024 10:01:36 GMT
- content-type: text/html
- content-length: 166
- location: https://test1.test.dev/
- strict-transport-security: max-age=31536000
- <html>
- <head><title>301 Moved Permanently</title></head>
- <body>
- <center><h1>301 Moved Permanently</h1></center>
- <hr><center>openresty</center>
- </body>
- </html>
同样的该配置文件稍有一些兼容性问题,建议分块处理。将http 和 https配置块分开
- # 当开启强制https时候增加 302或301 可考虑后台有选择
- server {
- listen 0.0.0.0:80; # 标准端口
- server_name test1.test.dev;
- return 302 https://$host:443$request_uri;
- }
- server {
- listen 0.0.0.0:443 ssl http2;
- ...
如非标准端口 则只需 ssl块即可 开启https则增加error_page 497处理,如不开启 则取消ssl功能 和error_page 497行
- server {
- listen 0.0.0.0:8443 ssl http2;
- ...
- error_page 497 =302 https://$host:$server_port$request_uri; #302或301 可考虑后台有选择
- ..
因用户无法手动修复该问题,所以建议官方考虑完善该配置,完善后将大幅提升各类环境兼容性
2024-12-29 更新
由于迟迟没有得到官方回复,无法得知该问题是否会修复或者其他计划。 所以编写了如下脚本。 需要的朋友自取
用于修复 “不合理” 的配置,设置定时任务。每分钟执行一次检查,如果nginx配置中存在 error_page 497 https://$host$request_uri; 这个配置,则替换为 error_page 497 https://$host server_port$request_uri; 并重载docker nginx
- #!/bin/bash
- # 定义需要搜索和替换的字符串
- search="error_page 497 https://\$host\$request_uri;"
- replace="error_page 497 https://\$host:\$server_port\$request_uri;"
- # 定义配置文件所在的目录路径
- config_dir="/www/cloud_waf/nginx/conf.d/vhost/"
- # 标记是否进行了修改
- changes_made=0
- # 遍历目录下的所有.conf文件
- for file in $config_dir*.conf; do
- # 检查文件中是不合理的配置,并统计匹配的数量
- match_count=$(grep -cF "$search" "$file")
- if [ $match_count -gt 0 ]; then
- echo "在 $file 中找到 $match_count 个错误配置"
- # 使用sed进行替换操作,确保替换所有的实例
- sed -i "s|$search|$replace|g" "$file"
- changes_made=1
- echo "已修复 $file 中的 $match_count 个配置"
- fi
- done
- # 如果有文件被修改,则重新加载nginx配置
- if [ $changes_made -eq 1 ]; then
- echo "正在重新加载Nginx配置..."
- docker exec -it cloudwaf_nginx nginx -s reload
- else
- echo "没有发现需要修复的配置。"
- fi
存储为 /opt/fix_nginx_config.sh 授予执行权限 chmod +x /opt/fix_nginx_config.sh
并设置定时任务 crontab -e - # 修复定向
- * * * * * /bin/bash /opt/fix_nginx_config.sh
| 
运维要高效,装宝塔
