声明：该文章只是用于技术探索的实践与讨论，没有其他用途。

准备：

1. 一台能访问外网的服务器；
2. 一个域名，映射到上面的服务器；
3. https的证书及密钥；
4. nginx安装包；

协议使用：

开搞：

1. 安装nginx，并使用第三方模块(ngx_http_proxy_connect_module，该模块用于https转发时，接收并创建CONNECT请求，用于后续的隧道传输数据，都是基于TCP的)，具体步骤如下：

   1. 下载并解压ngx_http_proxy_connect_module模块(wget https://gitcode.net/mirrors/chobits/ngx_http_proxy_connect_module/-/archive/master/ngx_http_proxy_connect_module-master.tar.gz);
   2. 到nginx目录(类似nginx-1.24.0)，执行命令：

      patch -p1 < /opt/ngx_http_proxy_connect_module-master/patch/proxy_connect_rewrite_102101.patch
      
      ./configure --add-dynamic-module=/opt/ngx_http_proxy_connect_module-master --with-http_ssl_module
      
      make && make install

        2.  配置nginx.conf文件，增加如下配置：

• 增加全局配置：load_module /usr/local/nginx/modules/ngx_http_proxy_connect_module.so;
• 增加如下server配置：

  server {
      listen 6060 ssl;
      server_name 域名(对应准备中的域名);
      charset utf-8;
      resolver 8.8.8.8;
      client_max_body_size 50m;
      access_log logs/access_proxy.log;

      proxy_connect;
      proxy_connect_allow     443 563;
      proxy_connect_timeout   20s;
      proxy_read_timeout      20s;
      proxy_send_timeout      20s;

      ssl_certificate     /path/xxx.pem(对应准备中的证书);
      ssl_certificate_key /path/xxx.key(对应准备中的密钥);

      location / {
          proxy_pass $scheme://$http_host$request_uri;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-NginX-Proxy true;

          proxy_redirect off;
          proxy_buffers 256 4k;
      }
  }

        3. 启动nginx；

说明：

1. 为什么client与proxy之间需要https？因为这样可以使CONNECT请求基于ssl进行发送，保护了请求域名，否则对于google.com这种host，会被劫持；

2. 这个正向代理的原理是什么？基于http的CONNECT方法，建立client到proxy、proxy到server的隧道，后面发送数据都是proxy直接进行转发，保证数据安全；

结果：

可以通过该nginx的正向代理的方式，去访问google这样的网站。