Nginx是一款轻量级的Web服务器、反向代理服务器，占用内存少，启动快，高并发能力强，配置简单，被广泛应用。OPNsense也集成了Nginx插件，通过设置Nginx反代，即可以保护内部Web服务器，也可以实现服务器的负载平衡。

下面以访问内部alist服务器(IP地址：192.168.101.15，http访问端口:5244)为例，介绍Nginx反代的配置过程。

在配置Nginx之前，可以参照OPNsense配置CloudFlare动态域名，使用Let’s Encrypt证书实现SSL安全访问设置动态域名和ACME证书。

安装插件

导航到OPNsense防火墙系统>固件>插件菜单，搜索os-nginx并安装。

配置步骤

Nginx反代设置，主要包含五个方面的配置：

• 上游服务器：托管网页/应用程序的真实内部服务器；
• 上游：配置服务器的后端（池）；
• 位置：配置上游功能的网址格式；
• HTTP 服务器：配置一个或多个位置的前端；
• 添加防火墙规则，放行反代使用的端口。

添加上游服务器

导航到服务>Nginx>配置>上游选项卡，点击上游服务器，添加内部Alist服务器。

输入Alist服务器的访问IP和端口，因为只有一个服务器，所以优先级设为1。服务器参数设置取决于Web服务器/应用程序以及网络环境，为了获得更好的保护，建议在“ 最大连接数/失败次数”和“ 失败超时”中设置一些限制。配置完成后如下：

添加上游（池）

接下来配置上游。单击上游菜单，添加一个新的上游。上游服务器选上一步建立的服务器，启用TLS不选，其他选项保持默认即可。

配置完成后如下图所示：

Naxsi(WAF)规则

Naxsi是第三方Nginx模块，可作为许多类似UNIX平台的软件包使用，可以一定程度上提升访问的安全性。在进行配置之前，我们需要下载Naxsi规则策略，并在后面的位置配置中启用该规则。转到HTTP(S)>Naxsi WAF策略子菜单，单击右上的下载按钮获取NAXSI规则，接受NAXSI存储库许可证，下载NAXSI策略和规则。

下载完成后如下图所示：

添加位置

导航到HTTP(S)>位置，单击右下角添加按钮添加一个新位置。输入一个描述说明，网址格式要与服务器根目录匹配，这里用“/”填充。要与另一个路径匹配，请将其更改为“/ anotherpath /”；选中启用安全规则，上游服务器选中前面设置的上游，选中强制HTTPS选项。

其他选项根据需要设置或保持默认，配置完成以后如下图所示：

添加HTTP服务器

单击HTTP(S)选项卡，找到HTTP服务器菜单，添加一个HTTP服务器。由于不需要通过http端口访问，这里的http监听地址可以留空。输入https监听端口、服务器名称，位置选中上一步设置的位置，TLS证书和CA选中之前用LE申请的证书和CA；选中启用LE插件支持，选中仅HTTPS。其他选项保持默认。

 

配置完成以后如下图所示：

启用Nginx

返回菜单服务>Nginx：选中启用选项，单击应用按钮启动nginx服务。

添加防火墙规则

创建所需的防火墙规则，放行http服务器所使用的端口（10443）。导航到防火墙>规则>WAN选项卡，添加放行10443端口的规则。如下图所示：

至此，配置全部完成！

检查测试

手机关闭WIFI，浏览器输入https://域名+端口号访问内部Alist服务器，测试是否能正常访问，如下图所示：

如果访问不了，可以根据nginx的日志找出问题原因，并针对性进行解决。

转到服务>Nginx>流量统计，可以查看Nginx的实时统计信息。

其他问题

可以在ACME插件里添加一个自动操作，在证书更新后，自动重启nginx服务。

导航到服务>ACME客户端>自动操作，自动操作选项卡，添加一个自动操作命令：

然后转到服务>ACME客户端>证书，证书选项卡，点击所使用证书右侧的编辑图标，在自动操作选项里，添加前面设置的自动操作命令，保存即可。以后只要更新了证书，系统将自动重启nginx服务

相关文章

• pfSense配置Squid反向代理教程
• pfSense配置HAProxy反向代理教程
• OPNsense配置Caddy反向代理教程
• OPNsense配置HAProxy反向代理教程