mitchell
Goto Top

Reverse-Proxy Lösung

Hi,

ich bräuchte mal ein paar Anregungen bezüglich Reverse-Proxy und SSL.

Problem: Endgerät unterstützt kein SSL, ist also nur HTTP möglich. Geht natürlich mal gar nicht, wenn man auf URL mit HTTPS angewiesen ist (heute ja kaum vorstellbar ^^).
Nun möchte ich einen Reverse-Proxy einsetzen. Welche Lösung würdet ihr da verwenden?

Und ja, das Apache Modul ist irgendwo klar. Leider schmiert es, warum auch immer, ab.

Wie immer...ich danke vorab.

Gruß
Mitchell

Content-Key: 416405

Url: https://administrator.de/contentid/416405

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: StefanKittel
StefanKittel 11.02.2019 um 06:56:25 Uhr
Goto Top
Hallo,

für RP ist nginx meiner Meinung nach besser geeignet.

Das was Dir fehlt nennt sich SSL-Offloading.
Also SSL-Verbindung zum RP und von dort per HTTP
Wird häufig bei Web-Shops gemacht um Rechenleistung am Shop-Server einzusparen.

Stefan
Mitglied: Spirit-of-Eli
Spirit-of-Eli 11.02.2019 um 07:28:35 Uhr
Goto Top
Moin,

die Frage ist nicht wirklich was du brauchst, sondern was du schon hast?

Für einen mikrigen Reverse Proxy würde ich mir kein Brett hin stellen.

Was muss da genau durch getunnelt werden und was nutzt du als FW?
Ist z.b. ein Netscaler vorhanden?

Gruß
Spirit
Mitglied: Julian94
Julian94 11.02.2019 um 09:22:59 Uhr
Goto Top
Hi Mitchell,

würde auch einen NGINX Reverse Proxy in die DMZ stellen. Nutzen das so schon seit Jahren.

Bei Interesse kann ich dir ne Standardconfig zur Verfügung stellen.

Gruß
Julian
Mitglied: pianoman82
pianoman82 11.02.2019 aktualisiert um 09:39:47 Uhr
Goto Top
Guten Morgen!

Auch ich habe großes Interesse an einer Standardconfig für NGINX zum Thema Reverse Proxy.

Herzliche Grüße
Mitglied: Julian94
Julian94 11.02.2019 aktualisiert um 09:48:06 Uhr
Goto Top
/var/nginx/conf.d/example.conf
server {
    listen 443 http2;
    server_name subdomain.yourdomain.de;

	# SSL Config
	ssl_certificate         /etc/nginx/certs/yourcert.cer;
	ssl_certificate_key     /etc/nginx/certs/yourkey.key;
	ssl_session_timeout 120m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        proxy_pass http://yourbackendserver;
        proxy_cookie_path / /;

		proxy_set_header   Host $host;
		proxy_set_header   X-Real-IP $remote_addr;
		proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header   X-Forwarded-Proto $scheme;
        }

	# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
	add_header Strict-Transport-Security max-age=15768000;

	error_log /var/log/nginx/yourdomain-error.log;
        access_log /var/log/nginx/yourdomain-access.log;
}
Mitglied: Dani
Dani 11.02.2019 um 21:38:14 Uhr
Goto Top
Moin,
Achtung! Die gepostete Konfiguration entspricht einer minimal Konfiguration!

Es fehlen wesentliche Dinge wie OCSP Stapling; Cipher Suites; Reihenfolge der Cipher Suites; Certificate Chain; SSL Sessions Timeouts; Header wie X-Frame-Options, X-XSS-Protection; HSTS inkl. Preload & Subdomains; Weiterleitung von HTTP auf HTTPs, etc...


Gruß,
Dani
Mitglied: Julian94
Julian94 12.02.2019 aktualisiert um 13:26:16 Uhr
Goto Top
Sagte ich ja bereits, diesen "einheitlichen" Kram haben in einer separaten Datei gepflegt. Man sollte sich hier mal durch arbeiten: https://gist.github.com/plentz/6737338
Mitglied: Mitchell
Mitchell 24.02.2019 um 02:04:36 Uhr
Goto Top
Muss ich leider ungelöst stehen lassen, weil das Projekt momentan brach liegt.

Ich danke auf jeden Fall für alle Vorschläge und werde Bescheid geben, sollte sich hier noch was ergeben.

Gruß
Mitchell
Mitglied: Spirit-of-Eli
Spirit-of-Eli 24.02.2019 um 08:07:23 Uhr
Goto Top
Also HAProxy kann genau dass und es gibt viele Anleitungen wie der standalone betrieben werden kann.

Also, was fehlt dir zur Lösung?
Mitglied: Mitchell
Mitchell 25.02.2019 um 02:34:00 Uhr
Goto Top
Zeit und Lust face-smile Momentan muss ich hier leider abbrechen.

Gruß
Mitchell