NGINX, configuration vhost et sous-domaines, route par défaut ?
NGINX, configuration vhost et sous-domaines, route par défaut ?
Salut,
j'essaie de mettre en place un petit hébergement sur un rpi depuis chez moi.
Plus pour le fun et appliquer des technos
Je découvre donc nginx.
J'ai donc un domaine dont la conf est:
A @ Ip de la livebox
cname * nomDeDOmaine.fr
Sur la livebox, j'ai désigné le rpi comme DMZ.
Sur le rpi, iptables filtres tout sauf les ports 53, 80 et 443.
Sur le rpi j'iconfiguré 4 vhost :
nomDeDomaine.fr
www.nomDeDomaine.fr
sub1.nomDeDomaine.fr
sub2.nomDeDomaine.fr
Chque sous domaine pointe vers un répertoire dédié et a un certificat SSL let's Encrypt (l'installation de base du client).
Jusque là ça roule, en utilisant un proxy, j'arrive à contacter les 4 domaines et j'ai la simple page html perso de chaque.
Mais, je ne sais pas ce qu'il faut faire pour que si quelqu'un tape un sous-domaine exotique, ce soit pris en compte.
Naïvement, j'ai nommé le fichier de conf de nomDeDomaine.fr en 999-fichier.conf en pensant que ce serait la dernière règle de routage utilisée.
Mais non, la solution me brûle certainement les yeux, mais je tourne en rond
Si je rentre 123.nomDeDomaine.fr, ça semble me rediriger vers la livebox, et un certificat m'est demandé. Bref, c'est pas ça.
Voilà, voilà si vous avez une idée ce serait coooool !
j'essaie de mettre en place un petit hébergement sur un rpi depuis chez moi.
Plus pour le fun et appliquer des technos
Je découvre donc nginx.
J'ai donc un domaine dont la conf est:
A @ Ip de la livebox
cname * nomDeDOmaine.fr
Sur la livebox, j'ai désigné le rpi comme DMZ.
Sur le rpi, iptables filtres tout sauf les ports 53, 80 et 443.
Sur le rpi j'iconfiguré 4 vhost :
nomDeDomaine.fr
www.nomDeDomaine.fr
sub1.nomDeDomaine.fr
sub2.nomDeDomaine.fr
Chque sous domaine pointe vers un répertoire dédié et a un certificat SSL let's Encrypt (l'installation de base du client).
Jusque là ça roule, en utilisant un proxy, j'arrive à contacter les 4 domaines et j'ai la simple page html perso de chaque.
Mais, je ne sais pas ce qu'il faut faire pour que si quelqu'un tape un sous-domaine exotique, ce soit pris en compte.
Naïvement, j'ai nommé le fichier de conf de nomDeDomaine.fr en 999-fichier.conf en pensant que ce serait la dernière règle de routage utilisée.
Mais non, la solution me brûle certainement les yeux, mais je tourne en rond
Si je rentre 123.nomDeDomaine.fr, ça semble me rediriger vers la livebox, et un certificat m'est demandé. Bref, c'est pas ça.
Voilà, voilà si vous avez une idée ce serait coooool !
- dsebire
- Messages : 12716
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
NGINX, configuration vhost et sous-domaines, route par défaut ?
il te manque un virtualhost ou tu ne défini pas de servername (dans ton 999-fichier.conf par exemple)
tout ce qui arrivera qui ne correspond pas aux 4 autre vhost sera pris en compte par celui-ci
c'est aussi la dedans qu'arriveront la plupart des attaques sur le serveur
tout ce qui arrivera qui ne correspond pas aux 4 autre vhost sera pris en compte par celui-ci
c'est aussi la dedans qu'arriveront la plupart des attaques sur le serveur
NGINX, configuration vhost et sous-domaines, route par défaut ?
pourquoi tu laisses le 53 ouvert en entrant sur le rpi ?
- dsebire
- Messages : 12716
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
NGINX, configuration vhost et sous-domaines, route par défaut ?
+1 mauvaise idée.
c'est le meilleur moyen de s'exposer aux attaques de type réflexion/amplification.
c'est le meilleur moyen de s'exposer aux attaques de type réflexion/amplification.
NGINX, configuration vhost et sous-domaines, route par défaut ?
faudrait que je me repenche sur nginx pour virer mes apache.
j'ai déjà mis en place un HAPROXY pour mon cluster mariadb, je pense l'utiliser aussi avec Nginx en backend, mais mes première tentatives avec nginx s'étaient bien vautrées :/
j'ai déjà mis en place un HAPROXY pour mon cluster mariadb, je pense l'utiliser aussi avec Nginx en backend, mais mes première tentatives avec nginx s'étaient bien vautrées :/
NGINX, configuration vhost et sous-domaines, route par défaut ?
nginx une fois que tu as compris ca va tout seul
à coté je trouve apache super compliqué!
à coté je trouve apache super compliqué!
NGINX, configuration vhost et sous-domaines, route par défaut ?
haproxy en frontal https et nginx / apache en backend c'est le bien
+1 sur ce qui a été dit plus haut
il manque juste un vhost sans servername qui récupèrera le reste
+1 sur ce qui a été dit plus haut
il manque juste un vhost sans servername qui récupèrera le reste
NGINX, configuration vhost et sous-domaines, route par défaut ?
Ok, je vais tester ça.
Je laisse le 53 sinon apt-get ne fonctionne pas.
D'ailleurs, j'ai fini par remettre la politique des OUTPUT en ACCEPT au lieu de DROP, sinon apt ne fonctionne pas.
Il arrive à trouver les repos, mais il bloque dès le début du premier téléchargement de paquet.
Je n'ai pas encore ajouté toutes les règles "anti attaques" que l'on trouve, il faut que je le fasse.
Merci du coup de main !
Je laisse le 53 sinon apt-get ne fonctionne pas.
D'ailleurs, j'ai fini par remettre la politique des OUTPUT en ACCEPT au lieu de DROP, sinon apt ne fonctionne pas.
Il arrive à trouver les repos, mais il bloque dès le début du premier téléchargement de paquet.
Je n'ai pas encore ajouté toutes les règles "anti attaques" que l'on trouve, il faut que je le fasse.
Merci du coup de main !
- dsebire
- Messages : 12716
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
NGINX, configuration vhost et sous-domaines, route par défaut ?
tu peux bloquer le 53 en entrée ça changera rien pour apt.
c'est en effet en sortie qu'il faut autoriser
c'est en effet en sortie qu'il faut autoriser
NGINX, configuration vhost et sous-domaines, route par défaut ?
Ok, merci.
De toute façon, je pense qu'à terme qu'il n'y aura que le 443 en externe et le port ssh en LAN.
De toute façon, je pense qu'à terme qu'il n'y aura que le 443 en externe et le port ssh en LAN.
NGINX, configuration vhost et sous-domaines, route par défaut ?
laisse le 80 et 443 et tu redirige automatique en https et voila
NGINX, configuration vhost et sous-domaines, route par défaut ?
yep, merci, ça marche bien pour le moment