10
Reverse-Proxy Lösung
Hi,
ich bräuchte mal ein paar Anregungen bezüglich Reverse-Proxy und SSL.
Problem: Endgerät unterstützt kein SSL, ist also nur HTTP möglich. Geht natürlich mal gar nicht, wenn man auf URL mit HTTPS angewiesen ist (heute ja kaum vorstellbar ^^).
Nun möchte ich einen Reverse-Proxy einsetzen. Welche Lösung würdet ihr da verwenden?
Und ja, das Apache Modul ist irgendwo klar. Leider schmiert es, warum auch immer, ab.
Wie immer...ich danke vorab.
Gruß
Mitchell
ich bräuchte mal ein paar Anregungen bezüglich Reverse-Proxy und SSL.
Problem: Endgerät unterstützt kein SSL, ist also nur HTTP möglich. Geht natürlich mal gar nicht, wenn man auf URL mit HTTPS angewiesen ist (heute ja kaum vorstellbar ^^).
Nun möchte ich einen Reverse-Proxy einsetzen. Welche Lösung würdet ihr da verwenden?
Und ja, das Apache Modul ist irgendwo klar. Leider schmiert es, warum auch immer, ab.
Wie immer...ich danke vorab.
Gruß
Mitchell
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 416405
Url: https://administrator.de/contentid/416405
Printed on: April 16, 2024 at 04:04 o'clock
10 Comments
Latest comment
Hallo,
für RP ist nginx meiner Meinung nach besser geeignet.
Das was Dir fehlt nennt sich SSL-Offloading.
Also SSL-Verbindung zum RP und von dort per HTTP
Wird häufig bei Web-Shops gemacht um Rechenleistung am Shop-Server einzusparen.
Stefan
für RP ist nginx meiner Meinung nach besser geeignet.
Das was Dir fehlt nennt sich SSL-Offloading.
Also SSL-Verbindung zum RP und von dort per HTTP
Wird häufig bei Web-Shops gemacht um Rechenleistung am Shop-Server einzusparen.
Stefan
Moin,
die Frage ist nicht wirklich was du brauchst, sondern was du schon hast?
Für einen mikrigen Reverse Proxy würde ich mir kein Brett hin stellen.
Was muss da genau durch getunnelt werden und was nutzt du als FW?
Ist z.b. ein Netscaler vorhanden?
Gruß
Spirit
die Frage ist nicht wirklich was du brauchst, sondern was du schon hast?
Für einen mikrigen Reverse Proxy würde ich mir kein Brett hin stellen.
Was muss da genau durch getunnelt werden und was nutzt du als FW?
Ist z.b. ein Netscaler vorhanden?
Gruß
Spirit
Hi Mitchell,
würde auch einen NGINX Reverse Proxy in die DMZ stellen. Nutzen das so schon seit Jahren.
Bei Interesse kann ich dir ne Standardconfig zur Verfügung stellen.
Gruß
Julian
würde auch einen NGINX Reverse Proxy in die DMZ stellen. Nutzen das so schon seit Jahren.
Bei Interesse kann ich dir ne Standardconfig zur Verfügung stellen.
Gruß
Julian
Guten Morgen!
Auch ich habe großes Interesse an einer Standardconfig für NGINX zum Thema Reverse Proxy.
Herzliche Grüße
Auch ich habe großes Interesse an einer Standardconfig für NGINX zum Thema Reverse Proxy.
Herzliche Grüße
/var/nginx/conf.d/example.conf
server {
listen 443 http2;
server_name subdomain.yourdomain.de;
# SSL Config
ssl_certificate /etc/nginx/certs/yourcert.cer;
ssl_certificate_key /etc/nginx/certs/yourkey.key;
ssl_session_timeout 120m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
location / {
proxy_pass http://yourbackendserver;
proxy_cookie_path / /;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
error_log /var/log/nginx/yourdomain-error.log;
access_log /var/log/nginx/yourdomain-access.log;
}
Moin,
Achtung! Die gepostete Konfiguration entspricht einer minimal Konfiguration!
Es fehlen wesentliche Dinge wie OCSP Stapling; Cipher Suites; Reihenfolge der Cipher Suites; Certificate Chain; SSL Sessions Timeouts; Header wie X-Frame-Options, X-XSS-Protection; HSTS inkl. Preload & Subdomains; Weiterleitung von HTTP auf HTTPs, etc...
Gruß,
Dani
Achtung! Die gepostete Konfiguration entspricht einer minimal Konfiguration!
Es fehlen wesentliche Dinge wie OCSP Stapling; Cipher Suites; Reihenfolge der Cipher Suites; Certificate Chain; SSL Sessions Timeouts; Header wie X-Frame-Options, X-XSS-Protection; HSTS inkl. Preload & Subdomains; Weiterleitung von HTTP auf HTTPs, etc...
Gruß,
Dani
Sagte ich ja bereits, diesen "einheitlichen" Kram haben in einer separaten Datei gepflegt. Man sollte sich hier mal durch arbeiten: https://gist.github.com/plentz/6737338
Muss ich leider ungelöst stehen lassen, weil das Projekt momentan brach liegt.
Ich danke auf jeden Fall für alle Vorschläge und werde Bescheid geben, sollte sich hier noch was ergeben.
Gruß
Mitchell
Ich danke auf jeden Fall für alle Vorschläge und werde Bescheid geben, sollte sich hier noch was ergeben.
Gruß
Mitchell
Also HAProxy kann genau dass und es gibt viele Anleitungen wie der standalone betrieben werden kann.
Also, was fehlt dir zur Lösung?
Also, was fehlt dir zur Lösung?
Zeit und Lust 
Momentan muss ich hier leider abbrechen.
Gruß
Mitchell
Momentan muss ich hier leider abbrechen.Gruß
Mitchell