NGINX, configuration vhost et sous-domaines, route par défaut ?

Répondre
dricfr
Messages : 5014
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dricfr »

Salut,

j'essaie de mettre en place un petit hébergement sur un rpi depuis chez moi.
Plus pour le fun et appliquer des technos :p
Je découvre donc nginx.

J'ai donc un domaine dont la conf est:

A @ Ip de la livebox
cname * nomDeDOmaine.fr

Sur la livebox, j'ai désigné le rpi comme DMZ.
Sur le rpi, iptables filtres tout sauf les ports 53, 80 et 443.
Sur le rpi j'iconfiguré 4 vhost :
nomDeDomaine.fr
www.nomDeDomaine.fr
sub1.nomDeDomaine.fr
sub2.nomDeDomaine.fr
Chque sous domaine pointe vers un répertoire dédié et a un certificat SSL let's Encrypt (l'installation de base du client).

Jusque là ça roule, en utilisant un proxy, j'arrive à contacter les 4 domaines et j'ai la simple page html perso de chaque.

Mais, je ne sais pas ce qu'il faut faire pour que si quelqu'un tape un sous-domaine exotique, ce soit pris en compte.
Naïvement, j'ai nommé le fichier de conf de nomDeDomaine.fr en 999-fichier.conf en pensant que ce serait la dernière règle de routage utilisée.
Mais non, la solution me brûle certainement les yeux, mais je tourne en rond :(
Si je rentre 123.nomDeDomaine.fr, ça semble me rediriger vers la livebox, et un certificat m'est demandé. Bref, c'est pas ça.

Voilà, voilà si vous avez une idée ce serait coooool !
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dsebire »

il te manque un virtualhost ou tu ne défini pas de servername (dans ton 999-fichier.conf par exemple)
tout ce qui arrivera qui ne correspond pas aux 4 autre vhost sera pris en compte par celui-ci

c'est aussi la dedans qu'arriveront la plupart des attaques sur le serveur ;)
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par Zedoune »

pourquoi tu laisses le 53 ouvert en entrant sur le rpi ?
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dsebire »

+1 mauvaise idée.
c'est le meilleur moyen de s'exposer aux attaques de type réflexion/amplification.
yahaha
Messages : 1831
Inscription : ven. 12 janv. 2018 17:44
Localisation : Bruxelles

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par yahaha »

faudrait que je me repenche sur nginx pour virer mes apache.

j'ai déjà mis en place un HAPROXY pour mon cluster mariadb, je pense l'utiliser aussi avec Nginx en backend, mais mes première tentatives avec nginx s'étaient bien vautrées :/
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par gizmo78 »

nginx une fois que tu as compris ca va tout seul :)

à coté je trouve apache super compliqué!
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par poulpito »

haproxy en frontal https et nginx / apache en backend c'est le bien
+1 sur ce qui a été dit plus haut
il manque juste un vhost sans servername qui récupèrera le reste
dricfr
Messages : 5014
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dricfr »

Ok, je vais tester ça.

Je laisse le 53 sinon apt-get ne fonctionne pas.
D'ailleurs, j'ai fini par remettre la politique des OUTPUT en ACCEPT au lieu de DROP, sinon apt ne fonctionne pas.
Il arrive à trouver les repos, mais il bloque dès le début du premier téléchargement de paquet.

Je n'ai pas encore ajouté toutes les règles "anti attaques" que l'on trouve, il faut que je le fasse.

Merci du coup de main !
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dsebire »

tu peux bloquer le 53 en entrée ça changera rien pour apt.
c'est en effet en sortie qu'il faut autoriser ;)
dricfr
Messages : 5014
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dricfr »

Ok, merci.
De toute façon, je pense qu'à terme qu'il n'y aura que le 443 en externe et le port ssh en LAN.
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par gizmo78 »

laisse le 80 et 443 et tu redirige automatique en https et voila :)
dricfr
Messages : 5014
Inscription : ven. 12 janv. 2018 17:44

NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par dricfr »

yep, merci, ça marche bien pour le moment :)
Répondre