NGINX, configuration vhost et sous-domaines, route par défaut ?

Message par **dricfr** » jeu. 11 mai 2017 00:04

Salut,

j'essaie de mettre en place un petit hébergement sur un rpi depuis chez moi.
Plus pour le fun et appliquer des technos

Je découvre donc nginx.

J'ai donc un domaine dont la conf est:

A @ Ip de la livebox
cname * nomDeDOmaine.fr

Sur la livebox, j'ai désigné le rpi comme DMZ.
Sur le rpi, iptables filtres tout sauf les ports 53, 80 et 443.
Sur le rpi j'iconfiguré 4 vhost :
nomDeDomaine.fr
www.nomDeDomaine.fr
sub1.nomDeDomaine.fr
sub2.nomDeDomaine.fr
Chque sous domaine pointe vers un répertoire dédié et a un certificat SSL let's Encrypt (l'installation de base du client).

Jusque là ça roule, en utilisant un proxy, j'arrive à contacter les 4 domaines et j'ai la simple page html perso de chaque.

Mais, je ne sais pas ce qu'il faut faire pour que si quelqu'un tape un sous-domaine exotique, ce soit pris en compte.
Naïvement, j'ai nommé le fichier de conf de nomDeDomaine.fr en 999-fichier.conf en pensant que ce serait la dernière règle de routage utilisée.
Mais non, la solution me brûle certainement les yeux, mais je tourne en rond

Si je rentre 123.nomDeDomaine.fr, ça semble me rediriger vers la livebox, et un certificat m'est demandé. Bref, c'est pas ça.

Voilà, voilà si vous avez une idée ce serait coooool !

Message par **dsebire** » jeu. 11 mai 2017 05:48

il te manque un virtualhost ou tu ne défini pas de servername (dans ton 999-fichier.conf par exemple)
tout ce qui arrivera qui ne correspond pas aux 4 autre vhost sera pris en compte par celui-ci

c'est aussi la dedans qu'arriveront la plupart des attaques sur le serveur

Message par **Zedoune** » jeu. 11 mai 2017 08:48

pourquoi tu laisses le 53 ouvert en entrant sur le rpi ?

Message par **dsebire** » jeu. 11 mai 2017 09:26

+1 mauvaise idée.
c'est le meilleur moyen de s'exposer aux attaques de type réflexion/amplification.

Message par **yahaha** » jeu. 11 mai 2017 10:00

faudrait que je me repenche sur nginx pour virer mes apache.

j'ai déjà mis en place un HAPROXY pour mon cluster mariadb, je pense l'utiliser aussi avec Nginx en backend, mais mes première tentatives avec nginx s'étaient bien vautrées :/

Message par **gizmo78** » jeu. 11 mai 2017 10:01

nginx une fois que tu as compris ca va tout seul

à coté je trouve apache super compliqué!

Message par **poulpito** » jeu. 11 mai 2017 10:12

haproxy en frontal https et nginx / apache en backend c'est le bien
+1 sur ce qui a été dit plus haut
il manque juste un vhost sans servername qui récupèrera le reste

Message par **dricfr** » jeu. 11 mai 2017 22:49

Ok, je vais tester ça.

Je laisse le 53 sinon apt-get ne fonctionne pas.
D'ailleurs, j'ai fini par remettre la politique des OUTPUT en ACCEPT au lieu de DROP, sinon apt ne fonctionne pas.
Il arrive à trouver les repos, mais il bloque dès le début du premier téléchargement de paquet.

Je n'ai pas encore ajouté toutes les règles "anti attaques" que l'on trouve, il faut que je le fasse.

Merci du coup de main !

Message par **dsebire** » ven. 12 mai 2017 06:59

tu peux bloquer le 53 en entrée ça changera rien pour apt.
c'est en effet en sortie qu'il faut autoriser

Message par **dricfr** » ven. 12 mai 2017 22:53

Ok, merci.
De toute façon, je pense qu'à terme qu'il n'y aura que le 443 en externe et le port ssh en LAN.

Message par **gizmo78** » sam. 13 mai 2017 15:51

laisse le 80 et 443 et tu redirige automatique en https et voila

Message par **dricfr** » dim. 14 mai 2017 13:25

yep, merci, ça marche bien pour le moment