Security

پروکسی شبکه

OpenClaw می‌تواند ترافیک HTTP و WebSocket زمان اجرا را از طریق یک پراکسی فوروارد مدیریت‌شده توسط اپراتور مسیریابی کند. این یک دفاع اختیاریِ چندلایه برای استقرارهایی است که کنترل خروجی مرکزی، محافظت قوی‌تر در برابر SSRF، و قابلیت حسابرسی بهتر شبکه می‌خواهند.

OpenClaw هیچ پراکسی‌ای را عرضه، دانلود، شروع، پیکربندی، یا تأیید نمی‌کند. شما فناوری پراکسی متناسب با محیط خود را اجرا می‌کنید، و OpenClaw کلاینت‌های HTTP و WebSocket عادیِ محلیِ فرایند را از طریق آن مسیریابی می‌کند.

چرا از پراکسی استفاده کنیم

پراکسی یک نقطه کنترل شبکه برای اپراتورها فراهم می‌کند تا ترافیک خروجی HTTP و WebSocket را مدیریت کنند. این موضوع حتی خارج از سخت‌سازی SSRF هم می‌تواند مفید باشد:

  • خط‌مشی مرکزی: به‌جای اتکا به اینکه هر محل فراخوانی HTTP در برنامه قواعد شبکه را درست پیاده کند، یک خط‌مشی خروجی واحد نگه دارید.
  • بررسی‌های زمان اتصال: مقصد را پس از تفکیک DNS و بلافاصله قبل از اینکه پراکسی اتصال بالادستی را باز کند ارزیابی کنید.
  • دفاع در برابر بازبست DNS: فاصله بین بررسی DNS در سطح برنامه و اتصال خروجی واقعی را کاهش دهید.
  • پوشش گسترده‌تر JavaScript: کلاینت‌های معمولی fetch، node:http، node:https، WebSocket، axios، got، node-fetch، و کلاینت‌های مشابه را از همان مسیر عبور دهید.
  • قابلیت حسابرسی: مقصدهای مجاز و ردشده را در مرز خروجی ثبت کنید.
  • کنترل عملیاتی: قواعد مقصد، بخش‌بندی شبکه، محدودیت‌های نرخ، یا فهرست‌های مجاز خروجی را بدون بازسازی OpenClaw اعمال کنید.

مسیریابی پراکسی یک حفاظ در سطح فرایند برای خروجی HTTP و WebSocket عادی است. این قابلیت به اپراتورها یک مسیر fail-closed می‌دهد تا کلاینت‌های HTTP پشتیبانی‌شده JavaScript را از طریق پراکسی فیلترکننده خودشان مسیریابی کنند، اما یک سندباکس شبکه در سطح سیستم‌عامل نیست و باعث نمی‌شود OpenClaw خط‌مشی مقصد پراکسی را تأیید کند.

OpenClaw چگونه ترافیک را مسیریابی می‌کند

وقتی proxy.enabled=true باشد و URL پراکسی پیکربندی شده باشد، فرایندهای زمان اجرای محافظت‌شده مانند openclaw gateway run، openclaw node run، و openclaw agent --local خروجی HTTP و WebSocket عادی را از طریق پراکسی پیکربندی‌شده مسیریابی می‌کنند:

text
OpenClaw process  fetch                  -> operator-managed filtering proxy -> public internet  node:http and https    -> operator-managed filtering proxy -> public internet  WebSocket clients      -> operator-managed filtering proxy -> public internet

قرارداد عمومی، رفتار مسیریابی است، نه hookهای داخلی Node که برای پیاده‌سازی آن استفاده می‌شوند. کلاینت‌های WebSocket سطح کنترل OpenClaw Gateway وقتی URL Gateway از localhost یا یک IP صریح loopback مانند 127.0.0.1 یا [::1] استفاده می‌کند، از یک مسیر مستقیم محدود برای ترافیک RPC مربوط به local loopback Gateway استفاده می‌کنند. این مسیر سطح کنترل باید بتواند حتی وقتی پراکسی اپراتور مقصدهای loopback را مسدود می‌کند، به Gatewayهای loopback دسترسی داشته باشد. درخواست‌های HTTP و WebSocket عادی زمان اجرا همچنان از پراکسی پیکربندی‌شده استفاده می‌کنند.

در داخل، OpenClaw برای این قابلیت Proxyline را به‌عنوان زمان اجرای مسیریابی در سطح فرایند نصب می‌کند. Proxyline موارد fetch، کلاینت‌های مبتنی بر undici، فراخوان‌های هسته Node از نوع node:http / node:https، کلاینت‌های رایج WebSocket، و تونل‌های CONNECT ساخته‌شده توسط helperها را پوشش می‌دهد. حالت پراکسی مدیریت‌شده agentهای HTTP مربوط به Node را که توسط فراخواننده ارائه شده‌اند جایگزین می‌کند تا agentهای صریح به‌طور تصادفی پراکسی اپراتور را دور نزنند.

برخی Pluginها مالک انتقال‌های سفارشی هستند که حتی وقتی مسیریابی در سطح فرایند وجود دارد، به سیم‌کشی صریح پراکسی نیاز دارند. برای مثال، انتقال Bot API در Telegram از dispatcher اختصاصی HTTP/1 undici خودش استفاده می‌کند و بنابراین env پراکسی فرایند به‌علاوه fallback مدیریت‌شده OPENCLAW_PROXY_URL را در آن مسیر انتقال مالک‌محور رعایت می‌کند.

خود URL پراکسی می‌تواند از http:// یا https:// استفاده کند. این schemeها اتصال از OpenClaw به endpoint پراکسی را توصیف می‌کنند:

  • http://proxy.example:3128: OpenClaw یک اتصال TCP ساده به پراکسی فوروارد باز می‌کند و درخواست‌های پراکسی HTTP، از جمله CONNECT برای مقصدهای HTTPS، را ارسال می‌کند.
  • https://proxy.example:8443: OpenClaw اتصال TLS را به endpoint پراکسی باز می‌کند، گواهی پراکسی را راستی‌آزمایی می‌کند، و سپس درخواست‌های پراکسی HTTP را داخل همان نشست TLS ارسال می‌کند.

HTTPS مقصد از TLS مربوط به endpoint پراکسی جداست. برای یک مقصد HTTPS، OpenClaw همچنان از پراکسی یک تونل HTTP CONNECT می‌خواهد و سپس TLS مقصد را از طریق آن تونل شروع می‌کند.

وقتی پراکسی فعال است، OpenClaw مقدارهای no_proxy و NO_PROXY را پاک می‌کند. این فهرست‌های دورزدن مبتنی بر مقصد هستند، بنابراین باقی ماندن localhost یا 127.0.0.1 در آن‌ها باعث می‌شود هدف‌های پرخطر SSRF از پراکسی فیلترکننده عبور نکنند.

هنگام خاموشی، OpenClaw محیط پراکسی قبلی را بازیابی می‌کند و وضعیت مسیریابی فرایندِ cacheشده را بازنشانی می‌کند.

اصطلاحات مرتبط با پراکسی

  • proxy.enabled / proxy.proxyUrl: مسیریابی پراکسی فوروارد خروجی برای خروجی زمان اجرای OpenClaw. این صفحه همین قابلیت را مستند می‌کند.
  • gateway.auth.mode: "trusted-proxy": احراز هویت ورودیِ reverse-proxy آگاه از هویت برای دسترسی به Gateway. احراز هویت پراکسی مورداعتماد را ببینید.
  • openclaw proxy: پراکسی اشکال‌زدایی محلی و بازرس capture برای توسعه و پشتیبانی. openclaw proxy را ببینید.
  • tools.web.fetch.useTrustedEnvProxy: انتخاب فعال برای web_fetch تا یک پراکسی env مربوط به HTTP(S) کنترل‌شده توسط اپراتور بتواند DNS را تفکیک کند، در حالی که pinning سخت‌گیرانه DNS و خط‌مشی hostname به‌صورت پیش‌فرض حفظ می‌شود. Web fetch را ببینید.
  • تنظیمات پراکسی اختصاصی کانال یا provider: overrideهای مالک‌محور برای یک انتقال خاص. وقتی هدف کنترل خروجی مرکزی در سراسر زمان اجراست، پراکسی شبکه مدیریت‌شده را ترجیح دهید.

پیکربندی

yaml
proxy:  enabled: true  proxyUrl: http://127.0.0.1:3128

برای یک endpoint پراکسی HTTPS با CA خصوصی پراکسی:

yaml
proxy:  enabled: true  proxyUrl: https://proxy.corp.example:8443  tls:    caFile: /etc/openclaw/proxy-ca.pem

همچنین می‌توانید URL را از طریق محیط ارائه کنید، در حالی که proxy.enabled=true را در پیکربندی نگه می‌دارید:

bash
OPENCLAW_PROXY_URL=http://127.0.0.1:3128 openclaw gateway run

proxy.proxyUrl بر OPENCLAW_PROXY_URL اولویت دارد.

حالت Loopback Gateway

کلاینت‌های سطح کنترل Gateway محلی معمولاً به یک WebSocket loopback مانند ws://127.0.0.1:18789 وصل می‌شوند. از proxy.loopbackMode برای انتخاب رفتار استثناهای loopback مربوط به پراکسی مدیریت‌شده هنگام فعال بودن پراکسی مدیریت‌شده استفاده کنید:

yaml
proxy:  enabled: true  proxyUrl: http://127.0.0.1:3128  loopbackMode: gateway-only # gateway-only, proxy, or block
  • gateway-only (پیش‌فرض): OpenClaw authority مربوط به loopback Gateway را در خط‌مشی managed bypass مربوط به Proxyline ثبت می‌کند تا ترافیک WebSocket محلی Gateway بتواند مستقیم وصل شود. پورت‌های سفارشی loopback Gateway کار می‌کنند، چون host و port مربوط به URL فعال Gateway ثبت می‌شوند. Plugin مرورگرِ همراه نیز می‌تواند endpointهای دقیق WebSocket مربوط به آمادگی CDP محلی و DevTools را برای مرورگرهای مدیریت‌شده‌ای که OpenClaw اجرا کرده ثبت کند، و provider همراه Ollama برای embedding حافظه می‌تواند از مسیر مستقیمِ محافظت‌شده و محدودتر خودش برای origin دقیق embedding مربوط به host-local loopback پیکربندی‌شده استفاده کند.
  • proxy: OpenClaw bypassهای loopback مربوط به Gateway یا Ollama را ثبت نمی‌کند، بنابراین آن ترافیک loopback از طریق پراکسی مدیریت‌شده ارسال می‌شود. اگر پراکسی راه‌دور باشد، باید مسیریابی ویژه‌ای برای سرویس loopback میزبان OpenClaw فراهم کند، مانند نگاشت آن به یک hostname، IP، یا تونل قابل‌دسترسی برای پراکسی. پراکسی‌های راه‌دور استاندارد 127.0.0.1 و localhost را از میزبان پراکسی تفکیک می‌کنند، نه از میزبان OpenClaw.
  • block: OpenClaw اتصال‌های سطح کنترل loopback مربوط به Gateway و اتصال‌های loopback مربوط به embedding host-local محافظت‌شده Ollama را پیش از باز کردن socket رد می‌کند.

اگر enabled=true باشد اما URL معتبر پراکسی پیکربندی نشده باشد، دستورهای محافظت‌شده به‌جای fallback به دسترسی مستقیم شبکه، هنگام startup شکست می‌خورند.

برای سرویس‌های Gateway مدیریت‌شده که با openclaw gateway start شروع می‌شوند، ترجیح دهید URL را در پیکربندی ذخیره کنید:

bash
openclaw config set proxy.enabled trueopenclaw config set proxy.proxyUrl http://127.0.0.1:3128openclaw gateway install --forceopenclaw gateway start

fallback محیط برای اجراهای foreground مناسب‌تر است. اگر از آن با یک سرویس نصب‌شده استفاده می‌کنید، OPENCLAW_PROXY_URL را در محیط پایدار سرویس، مانند $OPENCLAW_STATE_DIR/.env یا ~/.openclaw/.env، قرار دهید، سپس سرویس را دوباره نصب کنید تا launchd، systemd، یا Scheduled Tasks دروازه را با آن مقدار شروع کند.

برای دستورهای openclaw --container ...، وقتی OPENCLAW_PROXY_URL تنظیم شده باشد OpenClaw آن را به CLI فرزندِ هدف‌گذاری‌شده برای container ارسال می‌کند. URL باید از داخل container قابل‌دسترسی باشد؛ 127.0.0.1 به خود container اشاره می‌کند، نه میزبان. OpenClaw URLهای پراکسی loopback را برای دستورهای هدف‌گذاری‌شده به container رد می‌کند، مگر اینکه این بررسی ایمنی را صریحاً override کنید.

الزامات پراکسی

خط‌مشی پراکسی مرز امنیتی است. OpenClaw نمی‌تواند راستی‌آزمایی کند که پراکسی هدف‌های درست را مسدود می‌کند.

پراکسی را طوری پیکربندی کنید که:

  • فقط به loopback یا یک interface خصوصیِ مورداعتماد bind شود.
  • دسترسی را محدود کند تا فقط فرایند، میزبان، container، یا حساب سرویس OpenClaw بتواند از آن استفاده کند.
  • خودش مقصدها را تفکیک کند و IPهای مقصد را پس از تفکیک DNS مسدود کند.
  • خط‌مشی را در زمان اتصال هم برای درخواست‌های HTTP ساده و هم تونل‌های HTTPS CONNECT اعمال کند.
  • bypassهای مبتنی بر مقصد را برای بازه‌های loopback، خصوصی، link-local، metadata، multicast، reserved، یا documentation رد کند.
  • از فهرست‌های مجاز hostname پرهیز کند، مگر اینکه به مسیر تفکیک DNS کاملاً اعتماد دارید.
  • مقصد، تصمیم، وضعیت، و دلیل را بدون ثبت بدنه‌های درخواست، headerهای authorization، cookieها، یا سایر رازها log کند.
  • خط‌مشی پراکسی را تحت کنترل نسخه نگه دارد و تغییرات را مانند پیکربندی حساس به امنیت بازبینی کند.

مقصدهای مسدودشده پیشنهادی

از این denylist به‌عنوان نقطه شروع برای هر پراکسی فوروارد، firewall، یا خط‌مشی خروجی استفاده کنید.

منطق classifier سطح برنامه OpenClaw در src/infra/net/ssrf.ts و packages/net-policy/src/ip.ts قرار دارد. hookهای parity مرتبط عبارت‌اند از BLOCKED_HOSTNAMES، BLOCKED_IPV4_SPECIAL_USE_RANGES، BLOCKED_IPV6_SPECIAL_USE_RANGES، RFC2544_BENCHMARK_PREFIX، و handling جاسازی‌شده sentinel مربوط به IPv4 برای NAT64، 6to4، Teredo، ISATAP، و فرم‌های IPv4-mapped. این فایل‌ها هنگام نگهداری خط‌مشی پراکسی خارجی منابع مفیدی هستند، اما OpenClaw این قواعد را به‌طور خودکار در پراکسی شما export یا enforce نمی‌کند.

محدوده یا میزبان دلیل مسدودسازی
127.0.0.0/8, localhost, localhost.localdomain loopback در IPv4
::1/128 loopback در IPv6
0.0.0.0/8, ::/128 نشانی‌های نامشخص و این-شبکه
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 شبکه‌های خصوصی RFC1918
169.254.0.0/16, fe80::/10 نشانی‌های link-local و مسیرهای رایج فراداده ابری
169.254.169.254, metadata.google.internal سرویس‌های فراداده ابری
100.64.0.0/10 فضای نشانی مشترک NAT در سطح اپراتور
198.18.0.0/15, 2001:2::/48 محدوده‌های بنچمارک
192.0.0.0/24, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 2001:db8::/32 محدوده‌های کاربرد ویژه و مستندسازی
224.0.0.0/4, ff00::/8 Multicast
240.0.0.0/4 IPv4 رزرو‌شده
fc00::/7, fec0::/10 محدوده‌های محلی/خصوصی IPv6
100::/64, 2001:20::/28 محدوده‌های discard و ORCHIDv2 در IPv6
64:ff9b::/96, 64:ff9b:1::/48 پیشوندهای NAT64 با IPv4 جاسازی‌شده
2002::/16, 2001::/32 6to4 و Teredo با IPv4 جاسازی‌شده
::/96, ::ffff:0:0/96 IPv6 سازگار با IPv4 و IPv6 نگاشت‌شده به IPv4

اگر ارائه‌دهنده ابر یا پلتفرم شبکه شما میزبان‌های فراداده یا محدوده‌های رزرو‌شده دیگری را مستند کرده است، آن‌ها را هم اضافه کنید.

اعتبارسنجی

پراکسی را از همان میزبان، کانتینر، یا حساب سرویس که OpenClaw را اجرا می‌کند اعتبارسنجی کنید:

bash
openclaw proxy validate --proxy-url http://127.0.0.1:3128

برای یک نقطه پایانی پراکسی HTTPS که با CA خصوصی امضا شده است:

bash
openclaw proxy validate --proxy-url https://proxy.corp.example:8443 --proxy-ca-file /etc/openclaw/proxy-ca.pem

به‌صورت پیش‌فرض، وقتی مقصدهای سفارشی ارائه نشده باشند، فرمان بررسی می‌کند که https://example.com/ موفق شود و یک canary موقت loopback راه‌اندازی می‌کند که پراکسی نباید به آن برسد. بررسی پیش‌فرضِ ردشده وقتی قبول می‌شود که پراکسی یک پاسخ رد غیر 2xx برگرداند یا canary را با خطای انتقال مسدود کند؛ اگر پاسخ موفقی به canary برسد، شکست می‌خورد. اگر هیچ پراکسی‌ای فعال و پیکربندی نشده باشد، اعتبارسنجی یک مشکل پیکربندی گزارش می‌کند؛ برای یک پیش‌پرواز یک‌باره پیش از تغییر پیکربندی از --proxy-url استفاده کنید. برای آزمودن انتظارات خاص استقرار از --allowed-url و --denied-url استفاده کنید. برای اینکه تحویل مستقیم APNs HTTP/2 نیز بتواند از طریق پراکسی یک تونل CONNECT باز کند و پاسخ sandbox APNs دریافت کند، --apns-reachable را اضافه کنید؛ این probe از یک توکن ارائه‌دهنده عمدا نامعتبر استفاده می‌کند، بنابراین 403 InvalidProviderToken مورد انتظار است و به‌عنوان قابل‌دسترسی حساب می‌شود. مقصدهای ردشده سفارشی fail-closed هستند: هر پاسخ HTTP یعنی مقصد از طریق پراکسی قابل دسترسی بوده است، و هر خطای انتقال به‌عنوان نامشخص گزارش می‌شود چون OpenClaw نمی‌تواند ثابت کند پراکسی یک مبدا قابل‌دسترسی را مسدود کرده است. در صورت شکست اعتبارسنجی، فرمان با کد 1 خارج می‌شود.

برای اتوماسیون از --json استفاده کنید. خروجی JSON شامل نتیجه کلی، منبع پیکربندی مؤثر پراکسی، هر خطای پیکربندی، و هر بررسی مقصد است. اعتبارنامه‌های URL پراکسی در خروجی متنی و JSON پنهان می‌شوند:

json
{  "ok": true,  "config": {    "enabled": true,    "proxyUrl": "http://127.0.0.1:3128/",    "source": "override",    "errors": []  },  "checks": [    {      "kind": "allowed",      "url": "https://example.com/",      "ok": true,      "status": 200    },    {      "kind": "apns",      "url": "https://api.sandbox.push.apple.com",      "ok": true,      "status": 403    }  ]}

همچنین می‌توانید با curl به‌صورت دستی اعتبارسنجی کنید:

bash
curl -x http://127.0.0.1:3128 https://example.com/curl -x http://127.0.0.1:3128 http://127.0.0.1/curl -x http://127.0.0.1:3128 http://169.254.169.254/

درخواست عمومی باید موفق شود. درخواست‌های loopback و فراداده باید توسط پراکسی مسدود شوند. برای openclaw proxy validate، canary داخلی loopback می‌تواند رد پراکسی را از یک مبدا قابل‌دسترسی تشخیص دهد. بررسی‌های سفارشی --denied-url آن canary را ندارند، بنابراین هم پاسخ‌های HTTP و هم شکست‌های انتقال مبهم را شکست اعتبارسنجی در نظر بگیرید، مگر اینکه پراکسی شما سیگنال رد خاص استقرار ارائه کند که بتوانید جداگانه آن را راستی‌آزمایی کنید.

اعتماد CA پراکسی

وقتی خود نقطه پایانی پراکسی از گواهی امضاشده با CA خصوصی استفاده می‌کند، از proxy.tls.caFile مدیریت‌شده استفاده کنید:

yaml
proxy:  enabled: true  proxyUrl: https://proxy.corp.example:8443  tls:    caFile: /etc/openclaw/proxy-ca.pem

آن CA برای راستی‌آزمایی TLS نقطه پایانی پراکسی استفاده می‌شود. این یک تنظیم اعتماد MITM مقصد، گواهی کلاینت، یا جایگزینی برای سیاست مقصد پراکسی نیست.

فقط زمانی از NODE_EXTRA_CA_CERTS استفاده کنید که کل فرایند Node باید از زمان شروع فرایند به یک CA اضافی اعتماد کند، مثلا وقتی یک سامانه بازرسی TLS سازمانی گواهی‌های مقصد را برای هر کلاینت HTTPS در فرایند دوباره امضا می‌کند. NODE_EXTRA_CA_CERTS در سطح کل فرایند است و باید پیش از شروع Node وجود داشته باشد. برای اعتماد به نقطه پایانی پراکسی HTTPS، proxy.tls.caFile را ترجیح دهید، چون دامنه آن به مسیریابی پراکسی مدیریت‌شده محدود است.

سپس مسیریابی پراکسی OpenClaw را فعال کنید:

bash
openclaw config set proxy.enabled trueopenclaw config set proxy.proxyUrl https://proxy.corp.example:8443openclaw config set proxy.tls.caFile /etc/openclaw/proxy-ca.pemopenclaw gateway run

یا تنظیم کنید:

yaml
proxy:  enabled: true  proxyUrl: https://proxy.corp.example:8443  tls:    caFile: /etc/openclaw/proxy-ca.pem

محدودیت‌ها

  • پراکسی پوشش را برای کلاینت‌های HTTP و WebSocket جاوااسکریپتِ محلیِ فرایند بهبود می‌دهد، اما sandbox شبکه در سطح سیستم‌عامل نیست.
  • ترافیک control-plane مربوط به loopback در Gateway به‌صورت پیش‌فرض از طریق proxy.loopbackMode: "gateway-only" با bypass محلی مستقیم انجام می‌شود. OpenClaw این bypass را با ثبت authority فعال loopback در Gateway در سیاست bypass مدیریت‌شده Proxyline پیاده‌سازی می‌کند. اپراتورها می‌توانند proxy.loopbackMode: "proxy" را تنظیم کنند تا ترافیک loopback در Gateway از طریق پراکسی مدیریت‌شده ارسال شود، یا proxy.loopbackMode: "block" را تنظیم کنند تا اتصال‌های loopback به Gateway رد شوند. برای نکته احتیاطی پراکسی راه‌دور، حالت loopback در Gateway را ببینید.
  • سوکت‌های خام net، tls، و http2، افزونه‌های native، و فرایندهای فرزند غیر OpenClaw ممکن است مسیریابی پراکسی در سطح Node را دور بزنند، مگر اینکه متغیرهای محیطی پراکسی را به ارث ببرند و رعایت کنند. CLIهای فرزند OpenClaw که fork شده‌اند، URL پراکسی مدیریت‌شده و وضعیت proxy.loopbackMode را به ارث می‌برند.
  • IRC یک کانال TCP/TLS خام خارج از مسیریابی پراکسی forward مدیریت‌شده توسط اپراتور است. در استقرارهایی که همه خروجی‌ها باید از آن پراکسی forward عبور کنند، مگر اینکه خروجی مستقیم IRC صراحتا تأیید شده باشد، channels.irc.enabled=false را تنظیم کنید.
  • پراکسی محلی debug ابزار تشخیصی است و forwarding مستقیم upstream آن برای درخواست‌های پراکسی و تونل‌های CONNECT به‌صورت پیش‌فرض هنگام فعال بودن حالت پراکسی مدیریت‌شده غیرفعال است؛ forwarding مستقیم را فقط برای تشخیص‌های محلی تأییدشده فعال کنید.
  • WebUIهای محلی کاربر و سرورهای مدل محلی در صورت نیاز باید در سیاست پراکسی اپراتور allowlist شوند؛ OpenClaw برای آن‌ها bypass عمومی شبکه محلی ارائه نمی‌کند. ارائه‌دهنده embedding حافظه Ollama همراه محدودتر است: فقط برای مبدا دقیق embedding روی host-local loopback که از baseUrl پیکربندی‌شده مشتق شده است می‌تواند از یک مسیر مستقیم محافظت‌شده استفاده کند تا embeddingهای host-local وقتی پراکسی مدیریت‌شده نمی‌تواند به host loopback برسد همچنان کار کنند. میزبان‌های embedding مربوط به Ollama روی LAN، tailnet، شبکه خصوصی، و عمومی همچنان از مسیر پراکسی مدیریت‌شده استفاده می‌کنند. proxy.loopbackMode: "proxy" این ترافیک loopback مربوط به Ollama را از طریق پراکسی مدیریت‌شده ارسال می‌کند، و proxy.loopbackMode: "block" پیش از باز کردن اتصال آن را رد می‌کند.
  • bypass پراکسی برای control-plane در Gateway عمدا به localhost و URLهای IP صریح loopback محدود است. برای اتصال‌های control-plane محلی مستقیم Gateway از ws://127.0.0.1:18789، ws://[::1]:18789، یا ws://localhost:18789 استفاده کنید؛ نام‌های میزبان دیگر مانند ترافیک معمول مبتنی بر نام میزبان مسیریابی می‌شوند.
  • OpenClaw سیاست پراکسی شما را بازرسی، آزمایش، یا تأیید نمی‌کند.
  • تغییرات سیاست پراکسی را تغییرات عملیاتی حساس به امنیت در نظر بگیرید.
سطح وضعیت پراکسی مدیریت‌شده
fetch, node:http, node:https, کلاینت‌های رایج WebSocket هنگام پیکربندی، از طریق hookهای پراکسی مدیریت‌شده مسیریابی می‌شوند.
APNs مستقیم HTTP/2 از طریق helper مدیریت‌شده CONNECT برای APNs مسیریابی می‌شود.
loopback در control-plane مربوط به Gateway فقط برای URL محلی loopback پیکربندی‌شده Gateway مستقیم است.
forwarding upstream در پراکسی debug وقتی حالت پراکسی مدیریت‌شده فعال است غیرفعال می‌شود، مگر اینکه برای تشخیص‌های محلی صراحتا فعال شود.
IRC TCP/TLS خام؛ توسط حالت پراکسی HTTP مدیریت‌شده proxied نمی‌شود. مگر اینکه خروجی مستقیم IRC تأیید شده باشد، غیرفعال کنید.
سایر فراخوانی‌های کلاینت خام net، tls، یا http2 باید پیش از landing توسط نگهبان سوکت خام طبقه‌بندی شوند.
Was this useful?
On this page

On this page