Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
tech:proxy-01 [03/03/2021 12:04]
LibertAdmin créée
tech:proxy-01 [03/03/2021 12:12]
LibertAdmin
Ligne 5: Ligne 5:
   * Filtre les requêtes via un pare-feu iptables   * Filtre les requêtes via un pare-feu iptables
   * Bannit les tentatives d'attaques via Fail2Ban   * Bannit les tentatives d'attaques via Fail2Ban
 +
 ===== Configuration ===== ===== Configuration =====
 +
 +==== Système d'exploitation ====
 +Debian stable (Debian 10 « Buster » au moment de la rédaction de cette page)
 +
 ==== Adressage IP ==== ==== Adressage IP ====
  
Ligne 18: Ligne 23:
 </code> </code>
  
 +==== Configuration Nginx ====
 +
 +<code>
 +# Blocage des pays douteux :
 +geoip_country /usr/share/GeoIP/GeoIP.dat;
 +map $geoip_country_code $allow_country {
 + default yes;
 + PH no;
 + MYS no;
 + IN no;
 + BY no;
 + UA no;
 + CN no;
 + RU no;
 + KR no;
 + KP no;
 +}
 +</code>
 +
 +<code>
 +# Configuration globale :
 +server {
 +        # Frontaux Web HTTP :
 +        server_name _;
 +        listen 80;
 +
 +        location / {
 +                proxy_pass https://192.168.10.5/;
 + proxy_http_version                 1.1;
 + proxy_cache_bypass                 $http_upgrade;
 + proxy_set_header Upgrade           $http_upgrade;
 + proxy_set_header Connection        "upgrade";
 + proxy_set_header Host              $host;
 + proxy_set_header X-Real-IP         $remote_addr;
 + proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
 + proxy_set_header X-Forwarded-Proto $scheme;
 + proxy_set_header X-Forwarded-Host  $host;
 + proxy_set_header X-Forwarded-Port  $server_port;
 +        }
 +
 + # Bloquer les pays douteux :
 + if ($allow_country = no) {
 + return 403;
 + }
 +}
 +server {
 + # Frontal Web HTTPS Liberta Vidéo (Peertube) :
 + server_name video.liberta.vip;
 + listen 443 ssl http2;
 + ssl_certificate /etc/letsencrypt/live/liberta.vip/fullchain.pem;
 + ssl_certificate_key /etc/letsencrypt/live/liberta.vip/privkey.pem;
 +
 + location / {
 + proxy_pass https://192.168.10.8/;
 +                proxy_http_version                 1.1;
 +                proxy_cache_bypass                 $http_upgrade;
 +                proxy_set_header Upgrade           $http_upgrade;
 +                proxy_set_header Connection        "upgrade";
 +                proxy_set_header Host              $host;
 +                proxy_set_header X-Real-IP         $remote_addr;
 +                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
 +                proxy_set_header X-Forwarded-Proto $scheme;
 +                proxy_set_header X-Forwarded-Host  $host;
 +                proxy_set_header X-Forwarded-Port  $server_port;
 +        }
 +
 + # Bloquer les pays douteux :
 + if ($allow_country = no) {
 +                return 403;
 +        }
 +}
 +server {
 + # Frontaux Web HTTPS Liberta :
 + server_name liberta.vip *.liberta.vip;
 + listen 443 ssl http2;
 + ssl_certificate /etc/letsencrypt/live/liberta.vip/fullchain.pem;
 + ssl_certificate_key /etc/letsencrypt/live/liberta.vip/privkey.pem;
 +
 + location / {
 + proxy_pass https://192.168.10.5/;
 +                proxy_http_version                 1.1;
 +                proxy_cache_bypass                 $http_upgrade;
 +                proxy_set_header Upgrade           $http_upgrade;
 +                proxy_set_header Connection        "upgrade";
 +                proxy_set_header Host              $host;
 +                proxy_set_header X-Real-IP         $remote_addr;
 +                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
 +                proxy_set_header X-Forwarded-Proto $scheme;
 +                proxy_set_header X-Forwarded-Host  $host;
 +                proxy_set_header X-Forwarded-Port  $server_port;
 +        }
 +
 + # Bloquer les pays douteux :
 + if ($allow_country = no) {
 + return 403;
 + }
 +}
 +server {
 + # Frontaux Web SILICS :
 + server_name silics.fr *.silics.fr;
 + listen 443 ssl http2;
 + ssl_certificate /etc/letsencrypt/live/silics.fr/fullchain.pem;
 + ssl_certificate_key /etc/letsencrypt/live/silics.fr/privkey.pem;
 +
 + location / {
 + proxy_pass https://192.168.10.5/;
 +                proxy_http_version                 1.1;
 +                proxy_cache_bypass                 $http_upgrade;
 +                proxy_set_header Upgrade           $http_upgrade;
 +                proxy_set_header Connection        "upgrade";
 +                proxy_set_header Host              $host;
 +                proxy_set_header X-Real-IP         $remote_addr;
 +                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
 +                proxy_set_header X-Forwarded-Proto $scheme;
 +                proxy_set_header X-Forwarded-Host  $host;
 +                proxy_set_header X-Forwarded-Port  $server_port;
 +        }
 +}
 +server {
 +        # Frontaux Web TarnMarket :
 +        server_name tarnmarket.fr *.tarnmarket.fr;
 +        listen 443 ssl http2;
 +        ssl_certificate /etc/letsencrypt/live/tarnmarket.fr/fullchain.pem;
 +        ssl_certificate_key /etc/letsencrypt/live/tarnmarket.fr/privkey.pem;
 +
 +        location / {
 +                proxy_pass https://192.168.10.5/;
 +                proxy_http_version                 1.1;
 +                proxy_cache_bypass                 $http_upgrade;
 +                proxy_set_header Upgrade           $http_upgrade;
 +                proxy_set_header Connection        "upgrade";
 +                proxy_set_header Host              $host;
 +                proxy_set_header X-Real-IP         $remote_addr;
 +                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
 +                proxy_set_header X-Forwarded-Proto $scheme;
 +                proxy_set_header X-Forwarded-Host  $host;
 +                proxy_set_header X-Forwarded-Port  $server_port;
 +        }
 +}
 +
 +</code>
 ==== Liste des paquets ==== ==== Liste des paquets ====