【全网最细・已实测】Dify 调用内网接口报 403/Connection refused 完整踩坑实录 + 终极解决方案
一、问题场景与诡异现象
1. 环境说明
- 部署方式:Docker Compose部署 Dify 1.7.1
- 调用方式:工作流HTTP 请求节点
- 目标服务:内网 Tomcat 接口(
http://192.168.100.106:90) - 网络状态:容器内 curl 能通,返回 200/Tomcat 页面
2. 典型报错
- 主要报错:Squid 403 Access Denied
plaintext
The requested URL could not be retrieved Access Denied.- 乱操作后报错:Connection refused
plaintext
[Errno 111] Connection refused3. 最迷惑的地方
- 容器内能通
- 服务正常
- 端口通、防火墙通
- 只有 Dify 页面调用不通
二、我踩过的所有无效弯路(千万别学)
1. 盲目加环境变量(无效)
在docker-compose.yml疯狂加代理开关:
yaml
http_proxy: "" https_proxy: "" HTTP_PROXY: "" HTTPS_PROXY: "" NO_PROXY: "*" DISABLE_SSRF_PROXY: "true"结论:不生效!Dify 工作流不受这套环境变量控制。
2. 修改宿主机全局代理(无效)
改/etc/profile、/etc/environment、docker 代理配置结论:方向完全错误,越改越乱。
3. 直接删除 ssrf_proxy 容器(致命错误)
bash
运行
docker-compose rm -f -s -v ssrf_proxy报错从403 → Connection refused真实原因:代理容器被删了,Dify 还在强制走它,直接连代理都找不到。
4. 只改模板不看容器内真实配置(最坑)
修改宿主机squid.conf.template,然后只down/up结论:配置没进容器!Squid 依旧用默认规则拦截内网。
三、终极真相:为什么一直 403?
我进入容器查看真实运行的 Squid 配置后,瞬间破案:
bash
运行
docker exec -it docker-ssrf_proxy-1 cat /etc/squid/squid.conf致命根因只有一句话:
Squid 配置中,http_access deny all写在了最前面!
ini
# 系统默认配置(前面) http_access deny all # <--- 先拒绝所有 # 你后面加的允许规则(后面) http_access allow localnet http_access allow all # <--- 永远执行不到Squid 规则机制(重点!)
- 按顺序匹配
- 匹配到 deny 直接返回 403
- 后面的 allow 不会生效
- 内网默认被 Squid 安全策略禁止
四、真正根因总结(建议截图保存)
- Dify 工作流HTTP 节点强制走内置 ssrf_proxy(Squid)
- Squid默认禁止内网访问
- Squid 配置顺序错误:deny 在前,allow 在后
- 修改宿主机模板不会实时同步到容器
- 删除代理容器 → Connection refused,不是解决
- 普通环境变量无法绕过 Dify 内置代理
五、✅ 终极可落地解决方案(两步搞定)
方案 A:标准永久方案(推荐)
1. 恢复 ssrf_proxy 容器(千万别删)
bash
运行
cd /data/dify-1.7.1/docker docker-compose up -d ssrf_proxy2. 替换宿主机squid.conf.template
ini
################################## Reverse Proxy To Sandbox ################################ http_port ${REVERSE_PROXY_PORT} accel vhost cache_peer ${SANDBOX_HOST} parent ${SANDBOX_PORT} 0 no-query originserver http_access allow all always_direct allow all acl localnet src 192.168.0.0/16 acl localnet src 172.16.0.0/12 acl localnet src 10.0.0.0/8 client_request_buffer_max_size 100 MB3. 彻底重建容器(必须!)
bash
运行
docker-compose down -v docker-compose up -d方案 B:暴力 instant 生效(排障用)
直接覆盖容器内真实配置,立即生效,不用重启:
bash
运行
docker exec -it docker-ssrf_proxy-1 sh -c ' cat > /etc/squid/squid.conf << "EOF" http_access allow all always_direct allow all http_port 8194 accel vhost cache_peer sandbox parent 8194 0 no-query originserver client_request_buffer_max_size 100 MB EOF squid -k reconfigure '六、关键结论(记住这 5 条,永不踩坑)
- Dify HTTP 节点 ≠ 普通请求,默认走 Squid 代理
- Squid 默认禁止内网,必须手动放行
- Squid 规则顺序:allow 在前,deny 在后
- 排查必须看容器内配置,不要只看宿主机模板
- 不要删除 ssrf_proxy,否则直接 Connection refused
七、一图流速查
plaintext
Dify 内网接口 403 ├── 99% = Squid 配置问题 ├── 不是系统代理问题 ├── 不是环境变量问题 ├── 不是网络不通 ├── 不是服务挂了 ├── 核心:deny all 在 allow 前面 └── 解决:allow all 前置 + 重建容器