Nginx Proxy Manager与Anubis集成方案解析

背景介绍

Anubis是一款基于工作量证明(POW)的Web应用防火墙解决方案，常被用于保护Web服务免受自动化攻击。在实际部署中，用户经常需要将其与Nginx Proxy Manager(NPM)这样的反向代理管理工具集成使用。本文将详细介绍如何正确配置Anubis与NPM的集成方案。

常见配置问题

在集成过程中，开发者常会遇到"Redirect domain not allowed"错误。这通常发生在尝试使用单个Anubis实例保护多个后端服务时。错误产生的根本原因是重定向域名的验证机制与NPM的代理配置不匹配。

解决方案详解

1. Nginx配置要点

正确的Nginx配置应包含三个关键部分：

1. /.within.website/路径处理：

location /.within.website/ {
    proxy_pass http://anubis:80;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_pass_request_body off;
    proxy_set_header content-length "";
    auth_request off;
}

2. 重定向处理：

location @redirectToAnubis {
    return 307 /.within.website/?redir=$request_uri;
    auth_request off;
}

3. 主请求处理：

location / {
    auth_request /.within.website/x/cmd/anubis/api/check;
    error_page 401 = @redirectToAnubis;
    proxy_pass http://$server:$port;
}

2. 关键配置说明

• $request_uri的使用：这是解决"Redirect domain not allowed"错误的关键，相比完整的URL方案，直接使用请求URI更可靠
• proxy_pass指令：必须包含在后端服务配置中，否则会显示默认的OpenResty页面
• 认证流程：通过auth_request实现子请求认证，401错误时触发重定向

3. Anubis容器配置

在Docker环境中，Anubis需要以下关键配置：

environment:
  TARGET: " "
  REDIRECT_DOMAINS: "example.com,sub.example.com"
  COOKIE_DOMAIN: "example.com"

实现原理

这种配置方案的工作原理是：

1. 客户端请求到达NPM
2. NPM向Anubis发起子请求验证
3. 未认证时返回401，触发重定向到挑战页面
4. 用户完成POW挑战后，获得访问权限

最佳实践建议

1. 确保所有相关域名都包含在REDIRECT_DOMAINS中
2. 使用相同的COOKIE_DOMAIN以确保会话保持
3. 在生产环境中考虑设置适当的POW难度级别
4. 监控Anubis的指标端口(默认9090)以获取运行状态

通过以上配置，开发者可以成功实现单个Anubis实例保护多个后端服务的需求，同时避免了常见的重定向错误问题。