SMPFR

Salut,

j'essaie de mettre en place un petit hébergement sur un rpi depuis chez moi.
Plus pour le fun et appliquer des technos
Je découvre donc nginx.

J'ai donc un domaine dont la conf est:

A @ Ip de la livebox
cname * nomDeDOmaine.fr

Sur la livebox, j'ai désigné le rpi comme DMZ.
Sur le rpi, iptables filtres tout sauf les ports 53, 80 et 443.
Sur le rpi j'iconfiguré 4 vhost :
nomDeDomaine.fr
www.nomDeDomaine.fr
sub1.nomDeDomaine.fr
sub2.nomDeDomaine.fr
Chque sous domaine pointe vers un répertoire dédié et a un certificat SSL let's Encrypt (l'installation de base du client).

Jusque là ça roule, en utilisant un proxy, j'arrive à contacter les 4 domaines et j'ai la simple page html perso de chaque.

Mais, je ne sais pas ce qu'il faut faire pour que si quelqu'un tape un sous-domaine exotique, ce soit pris en compte.
Naïvement, j'ai nommé le fichier de conf de nomDeDomaine.fr en 999-fichier.conf en pensant que ce serait la dernière règle de routage utilisée.
Mais non, la solution me brûle certainement les yeux, mais je tourne en rond
Si je rentre 123.nomDeDomaine.fr, ça semble me rediriger vers la livebox, et un certificat m'est demandé. Bref, c'est pas ça.

Voilà, voilà si vous avez une idée ce serait coooool !

il te manque un virtualhost ou tu ne défini pas de servername (dans ton 999-fichier.conf par exemple)
tout ce qui arrivera qui ne correspond pas aux 4 autre vhost sera pris en compte par celui-ci

c'est aussi la dedans qu'arriveront la plupart des attaques sur le serveur

pourquoi tu laisses le 53 ouvert en entrant sur le rpi ?

+1 mauvaise idée.
c'est le meilleur moyen de s'exposer aux attaques de type réflexion/amplification.

faudrait que je me repenche sur nginx pour virer mes apache.

j'ai déjà mis en place un HAPROXY pour mon cluster mariadb, je pense l'utiliser aussi avec Nginx en backend, mais mes première tentatives avec nginx s'étaient bien vautrées :/

nginx une fois que tu as compris ca va tout seul

à coté je trouve apache super compliqué!

haproxy en frontal https et nginx / apache en backend c'est le bien
+1 sur ce qui a été dit plus haut
il manque juste un vhost sans servername qui récupèrera le reste

Ok, je vais tester ça.

Je laisse le 53 sinon apt-get ne fonctionne pas.
D'ailleurs, j'ai fini par remettre la politique des OUTPUT en ACCEPT au lieu de DROP, sinon apt ne fonctionne pas.
Il arrive à trouver les repos, mais il bloque dès le début du premier téléchargement de paquet.

Je n'ai pas encore ajouté toutes les règles "anti attaques" que l'on trouve, il faut que je le fasse.

Merci du coup de main !

tu peux bloquer le 53 en entrée ça changera rien pour apt.
c'est en effet en sortie qu'il faut autoriser

Ok, merci.
De toute façon, je pense qu'à terme qu'il n'y aura que le 443 en externe et le port ssh en LAN.

laisse le 80 et 443 et tu redirige automatique en https et voila

yep, merci, ça marche bien pour le moment