为Dify 的 ssrf_proxy 配置上游代理

为Dify 的 ssrf_proxy 配置上游代理

在使用 Dify 过程中，可能会遇到需要通过代理服务器来访问外部网络的场景。Dify 使用 ssrf_proxy（Squid ） 来提升sandbox的安全性。通过配置 Squid 代理，可以方便地实现这一需求。在本文中，我们将介绍如何通过配置 Squid 的 cache_peer 和 never_direct 指令，实现所有 HTTP 请求都通过上游代理转发的目标。

什么是 Squid？

Squid 是一款流行的代理服务器软件，它能够缓存 HTTP、FTP 等协议的请求，减少带宽消耗并提升访问速度。Squid 还可以充当代理服务器，将用户的请求转发给上游代理，从而为应用程序提供额外的隐私和控制功能。在配置 Dify 的 ssrf_proxy 服务时，我们可以利用 Squid 将 HTTP 请求通过上游代理进行转发。

需求背景

在配置 ssrf_proxy 时，我们需要让 HTTP 请求通过 Squid 代理服务器的上游代理进行访问，避免直接访问外部网络。通过配置 Squid 的 cache_peer 和 never_direct 指令，我们可以轻松实现这个目标。

配置步骤

1. 打开 Squid 配置文件

在 Dify 的 Docker 配置目录中，找到 squid.conf.template 文件。这个文件位于 dify/docker/ 目录下。使用任意文本编辑器打开此文件，准备进行修改。

cd dify/docker/ssrf_proxy
nano squid.conf.template

2. 配置 cache_peer

cache_peer 指令用于指定 Squid 代理的上游代理服务器。基本语法如下：

cache_peer <hostname> <type> <http-port> <icp-port> [options]

• <hostname>：上游代理服务器的主机名或 IP 地址。
• <type>：代理类型，通常为 parent，表示这是一个上游代理。
• <http-port>：上游代理服务器的 HTTP 端口（如 3128）。
• <icp-port>：ICP 端口，如果不需要可以设置为 0。
• [options]：额外的选项，如 no-query 禁用 ICP 查询，default 设为默认上游代理。

例如，如果你的上游代理的 IP 地址为 192.168.1.100，HTTP 端口为 3128，则可以这样配置：

cache_peer 192.168.1.100 parent 3128 0 no-query default

此配置将所有请求发送到位于 192.168.1.100 的上游代理，并禁用了 ICP 查询功能。

3. 添加 never_direct allow all

为了确保 Squid 代理始终通过上游代理转发请求，而不直接连接外部网络，我们需要在配置文件中添加 never_direct allow all 指令。这一指令强制所有请求都通过上游代理处理。

在 squid.conf.template 文件的合适位置（通常在 cache_peer 指令附近）添加以下内容：

never_direct allow all

4. 完整配置示例

在完成上述步骤后，squid.conf.template 文件的完整配置可能如下所示：

# 定义上游代理
cache_peer 192.168.1.100 parent 3128 0 no-query default

# 禁止直接连接，强制使用上游代理
never_direct allow all

5. 保存并重启服务

在完成配置后，保存文件并退出编辑器。然后，重新启动 Dify 及其 ssrf_proxy 服务，以应用新的 Squid 配置。你可以使用如下命令重启服务：

docker-compose down
docker-compose up -d

通过这种方式，你的 Squid 代理服务器就会将所有请求都转发给配置的上游代理，而不会直接访问目标服务器。

结论

通过配置 cache_peer 和 never_direct allow all，我们可以强制 Squid 代理服务器将所有 HTTP 请求都通过上游代理转发。这种配置非常适合需要通过特定代理进行网络访问的场景，尤其是在企业网络或需要遵守特定网络策略的环境中。

希望这篇文章能帮助你顺利完成 Dify 的 ssrf_proxy 服务配置。如果你有任何疑问或进一步的需求，欢迎在评论区留言交流！