【待解决】varnish + Nginx做透明代理不支持https

心若寒江雪

如题，我使用varnish + Nginx做了一个透明代理，但是当我访问https网站的时候就报400的错误，请大侠指教：
nginx.conf

1. 
   
2.   server {
   
3.     listen 8080 default_server;
   
4.     server_name _;
   
5. 
   
6.     access_log  /data/nginx/logs/access.log  access;
   
7.     location ~* \.(gif|png|jpg|jpeg|wmv|avi|mpg|mpeg|mp4|htm|html|js|css|mp3|swf|ico|flv)$ {
   
8.       proxy_set_header X-Real-IP $remote_addr;
   
9.       proxy_store /data/nginx/cache$uri;
   
10.       proxy_store_access user:rw group:rw all:r;
    
11.       proxy_pass $scheme://$host;
    
12.       add_header request_uri $request_uri;
    
13.     }
    
14.     location / {
    
15.       proxy_pass $scheme://$host;
    
16.       include fastcgi.conf;
    
17.     }
    
18.   }

复制代码

varnish: default.vcl

1. backend default {
   
2. .host = "127.0.0.1";
   
3. .port = "8080";
   
4. }
   
5. sub vcl_deliver {
   
6.       set resp.http.yougou-hits = obj.hits ;
   
7.       if (obj.hits > 0) {
   
8.             set resp.http.yougou-varnish = "HIT";
   
9.       } else {
   
10.             set resp.http.yougou-varsish= "MISS";
    
11.       }
    
12. }
    
13. 
    
14. sub vcl_recv {
    
15.     if (req.restarts == 0) {
    
16.       if (req.http.x-forwarded-for) {
    
17.           set req.http.X-Forwarded-For =
    
18.               req.http.X-Forwarded-For + ", " + client.ip;
    
19.       } else {
    
20.           set req.http.X-Forwarded-For = client.ip;
    
21.       }
    
22.     }
    
23.     if (req.request != "GET" &&
    
24.       req.request != "HEAD" &&
    
25.       req.request != "PUT" &&
    
26.       req.request != "POST" &&
    
27.       req.request != "TRACE" &&
    
28.       req.request != "OPTIONS" &&
    
29.       req.request != "DELETE") {
    
30.       /* Non-RFC2616 or CONNECT which is weird. */
    
31.       return (pipe);
    
32.     }
    
33.     if (req.request != "GET" && req.request != "HEAD") {
    
34.         /* We only deal with GET and HEAD by default */
    
35.         return (pass);
    
36.     }
    
37.     if (req.http.Authorization || req.http.Cookie) {
    
38.         /* Not cacheable by default */
    
39.         return (pass);
    
40.     }
    
41.     return (pass);
    
42. }

复制代码

当我访问 https://www.google.com.hk的时候

1. 127.0.0.1 - - [25/Jun/2013:11:38:45 +0800] "CONNECT www.google.com.hk:443 HTTP/1.1" 400 172 "-" "-" -http8080
   
2. 127.0.0.1 - - [25/Jun/2013:11:38:45 +0800] "CONNECT www.google.com.hk:443 HTTP/1.1" 400 172 "-" "-" -http8080

复制代码

找到的一个连接(http://www.reistlin.com/2011/04/page/1/)里面说：
“因为 Nginx 不支持 CONNECT，所以无法正向代理 Https 网站（网上银行，Gmail）”
但是我不怎么理解，请大侠指教

心若寒江雪

@各种版主lol

linsie

帮顶lollollollollollol

xf_aj

出现400错误是因为varnish认为客户端请求header行数及长度过大，其默认最大接受的请求header行数为64，最大长度（所有请求header行长度之和）为2048，而https的请求头超过了默认长度从而导致400错误，解决这个问题比较简单，在varnish启动参数中加入：

-p http_max_hdr=256

-p http_req_hdr_len=8192

再重启varnish, 即可解决其400错误。