Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tech:proxy-01 [03/03/2021 12:04] – créée LibertAdmin
+++ tech:proxy-01 [03/03/2021 12:12] (Version actuelle) – LibertAdmin
@@ Ligne 5: / Ligne 5: @@
   * Filtre les requêtes via un pare-feu iptables
   * Bannit les tentatives d'attaques via Fail2Ban
 ===== Configuration =====
+==== Système d'exploitation ====
+Debian stable (Debian 10 « Buster » au moment de la rédaction de cette page)
 ==== Adressage IP ====
@@ Ligne 18: / Ligne 23: @@
 </code>
+==== Configuration Nginx ====
+<code>
+# Blocage des pays douteux :
+geoip_country /usr/share/GeoIP/GeoIP.dat;
+map $geoip_country_code $allow_country {
+	default yes;
+	PH no;
+	MYS no;
+	IN no;
+	BY no;
+	UA no;
+	CN no;
+	RU no;
+	KR no;
+	KP no;
+}
+</code>
+<code>
+# Configuration globale :
+server {
+        # Frontaux Web HTTP :
+        server_name _;
+        listen 80;
+        location / {
+                proxy_pass https://192.168.10.5/;
+		proxy_http_version                 1.1;
+		proxy_cache_bypass                 $http_upgrade;
+		proxy_set_header Upgrade           $http_upgrade;
+		proxy_set_header Connection        "upgrade";
+		proxy_set_header Host              $host;
+		proxy_set_header X-Real-IP         $remote_addr;
+		proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
+		proxy_set_header X-Forwarded-Proto $scheme;
+		proxy_set_header X-Forwarded-Host  $host;
+		proxy_set_header X-Forwarded-Port  $server_port;
+        }
+	# Bloquer les pays douteux :
+	if ($allow_country = no) {
+		return 403;
+	}
+}
+server {
+	# Frontal Web HTTPS Liberta Vidéo (Peertube) :
+	server_name video.liberta.vip;
+	listen 443 ssl http2;
+	ssl_certificate /etc/letsencrypt/live/liberta.vip/fullchain.pem;
+	ssl_certificate_key /etc/letsencrypt/live/liberta.vip/privkey.pem;
+	location / {
+		proxy_pass https://192.168.10.8/;
+                proxy_http_version                 1.1;
+                proxy_cache_bypass                 $http_upgrade;
+                proxy_set_header Upgrade           $http_upgrade;
+                proxy_set_header Connection        "upgrade";
+                proxy_set_header Host              $host;
+                proxy_set_header X-Real-IP         $remote_addr;
+                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
+                proxy_set_header X-Forwarded-Proto $scheme;
+                proxy_set_header X-Forwarded-Host  $host;
+                proxy_set_header X-Forwarded-Port  $server_port;
+        }
+	# Bloquer les pays douteux :
+	if ($allow_country = no) {
+                return 403;
+        }
+}
+server {
+	# Frontaux Web HTTPS Liberta :
+	server_name liberta.vip *.liberta.vip;
+	listen 443 ssl http2;
+	ssl_certificate /etc/letsencrypt/live/liberta.vip/fullchain.pem;
+	ssl_certificate_key /etc/letsencrypt/live/liberta.vip/privkey.pem;
+	location / {
+		proxy_pass https://192.168.10.5/;
+                proxy_http_version                 1.1;
+                proxy_cache_bypass                 $http_upgrade;
+                proxy_set_header Upgrade           $http_upgrade;
+                proxy_set_header Connection        "upgrade";
+                proxy_set_header Host              $host;
+                proxy_set_header X-Real-IP         $remote_addr;
+                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
+                proxy_set_header X-Forwarded-Proto $scheme;
+                proxy_set_header X-Forwarded-Host  $host;
+                proxy_set_header X-Forwarded-Port  $server_port;
+        }
+	# Bloquer les pays douteux :
+	if ($allow_country = no) {
+		return 403;
+	}
+}
+server {
+	# Frontaux Web SILICS :
+	server_name silics.fr *.silics.fr;
+	listen 443 ssl http2;
+	ssl_certificate /etc/letsencrypt/live/silics.fr/fullchain.pem;
+	ssl_certificate_key /etc/letsencrypt/live/silics.fr/privkey.pem;
+	location / {
+		proxy_pass https://192.168.10.5/;
+                proxy_http_version                 1.1;
+                proxy_cache_bypass                 $http_upgrade;
+                proxy_set_header Upgrade           $http_upgrade;
+                proxy_set_header Connection        "upgrade";
+                proxy_set_header Host              $host;
+                proxy_set_header X-Real-IP         $remote_addr;
+                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
+                proxy_set_header X-Forwarded-Proto $scheme;
+                proxy_set_header X-Forwarded-Host  $host;
+                proxy_set_header X-Forwarded-Port  $server_port;
+        }
+}
+server {
+        # Frontaux Web TarnMarket :
+        server_name tarnmarket.fr *.tarnmarket.fr;
+        listen 443 ssl http2;
+        ssl_certificate /etc/letsencrypt/live/tarnmarket.fr/fullchain.pem;
+        ssl_certificate_key /etc/letsencrypt/live/tarnmarket.fr/privkey.pem;
+        location / {
+                proxy_pass https://192.168.10.5/;
+                proxy_http_version                 1.1;
+                proxy_cache_bypass                 $http_upgrade;
+                proxy_set_header Upgrade           $http_upgrade;
+                proxy_set_header Connection        "upgrade";
+                proxy_set_header Host              $host;
+                proxy_set_header X-Real-IP         $remote_addr;
+                proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
+                proxy_set_header X-Forwarded-Proto $scheme;
+                proxy_set_header X-Forwarded-Host  $host;
+                proxy_set_header X-Forwarded-Port  $server_port;
+        }
+}
+</code>
 ==== Liste des paquets ====