Настройка Nginx proxy SSL?

Question

[cowan]

Ребят привет!
Надо настроить прокси на нижестоящий сервер, но не выходит.
На вышестоящем такой конфиг:

server {
		
	listen 443 ssl;
	
    ssl_certificate /etc/letsencrypt/live/domain.ru/fullchain.pem; 
    ssl_certificate_key /etc/letsencrypt/live/domain.ru/privkey.pem; 
    include /etc/letsencrypt/options-ssl-nginx.conf; 
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
	
# Редирект с www на без www
	if ($host = www.domain.ru) {
        return 301 https://domain.ru$request_uri;
    } 
	
	server_name domain.ru www.domain.ru;
		
        location / {
            proxy_set_header   Host             $host;
			proxy_set_header   X-Real-IP        $remote_addr;
			proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
			proxy_set_header X-Forwarded-Proto  $scheme;
			proxy_pass https://192.168.1.85/;
		}
}

# Редирект с https на https и www на без www

server {
    if ($host = www.domain.ru) {
        return 301 https://domain.ru$request_uri;
    }

    if ($host = domain.ru) {
        return 301 https://domain.ru$request_uri;
    } 
    listen 80;
	server_name domain.ru www.domain.ru;
    
 	return 404;

}

Работает норм.
Сейчас у меня заморочка с 2 сертификатами на вышестоящем сервере и на нижестоящем. На сколько это правильно? В принципе все работает.

Comments

[Игорь Воротнёв]

Вас интересует нужен ли сертификат на втором сервере? Если вы хотите защитить коммуникацию между первым и вторым от man-in-the-middle атак, то конечно нужно шифровать весь трафик между ними, значит сертификат на втором сервере нужен. И это абсолютно нормально.

[cowan]

Игорь Воротнёв
Спасибо за ответ! Я так и думал. Учитывая, что второй сервер - почтовик. И там в конфиг файлах для STARTTLS тоже сертификаты прописаны. Смутило то, что первый и второй серверы в одной сети.

Answer 1

[Виктор Таран]

во всех манах в интернете есть ошибка по поводу проксирования HTTPS трафика на HTTP бэкэнда это не правильно и работать валидно на 100% никогда не будет, с той стороны есть js ajax и тд и тп которые не знают и не слышили о прокси по этому и бэк и фронт должны быть https

Вот рабочий конфиг

server {

######################################################################
## Server configuration
######################################################################
        listen *:443 ssl http2;
                server_name 5job.ru www.5job.ru   ;
        root /var/www/5job.ru/web;
######################################################################
## Enable gzip for proxied requests and static files
######################################################################
    # Enable gzip for proxied requests and static files
    gzip on;
    gzip_proxied any;
    gzip_vary on;
    gzip_http_version 1.1;
    gzip_types application/javascript application/json text/css text/xml;
    gzip_comp_level 4;

######################################################################
## SSL configuration
######################################################################
# recommended but not manditory directive
# leave commented out unless you know what it is doing
#more_set_headers 'Strict-Transport-Security: max-age=15768000';
        ssl on;
        ssl_session_cache  shared:SSL:10m;
        ssl_session_timeout 1h;
        ssl_protocols TLSv1.2 TLSv1.1;
        add_header Strict-Transport-Security "max-age=15768000" always;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_prefer_server_ciphers on;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;
        ssl_certificate /var/www/clients/client26/web28/ssl/5job.ru-le.crt;
        ssl_certificate_key /var/www/clients/client26/web28/ssl/5job.ru-le.key;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
######################################################################
## Log configuration
######################################################################
#Все логи отключены
        error_log /dev/null crit;
        access_log off;

######################################################################
## 555 Еrror requires password password
######################################################################
# Дев сайты закрыты htpass  login:dev pass:dev (второй кусок ниже)
        error_page 555 = @pass;
        location @pass {
                auth_basic      "Unauthorized";
                auth_basic_user_file    /var/www/dev_htpasswd;
                proxy_pass              https://127.0.0.1:4443;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header        HTTPS           YES;
                }
######################################################################
## Errors send to apache2
######################################################################
# у апача своих алиасов куча,  а так же некоторая статика отдается
# средствамси php, по этому все ошибки обрабатывать только apache2
        error_page 401 403 404 405 500 502 503 = @fallback;
        location @fallback {
                proxy_pass              https://127.0.0.1:4443;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header        HTTPS           YES;
                }

######################################################################
## Locations configuration
######################################################################
#Отключаем логирование ошибок No such file or directory
## Disable .htaccess files

        location ~ /\.ht {
                deny all;

                access_log off;
                log_not_found off;
        }
        ##
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
        ##
        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }
        ##
######################################################################
# сервисы  на сайте phpmyadmin почта и letxencrypt
        location /phpmyadmin/ {
                deny all;
                # поставить пароль на phpmyadmin
                return 555;
                root  /usr/share/phpmyadmin/;
        }
        ##
        location /webmail/ {
                rewrite ^/(.*)$ https://$http_host:8080/$1 permanent;
        }
        # letsencrypt
         location /.well-known/acme-challenge/ {
                alias /usr/local/ispconfig/interface/acme/;
                default_type text/plain;

         }
# static content
# Отдаем статику напрямую с nginx
        location ~* ^.+\.(jpg|jpeg|svg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf|flv|mp3)$ {
                root  /var/www/5job.ru/web;
                access_log off;
                expires 30d;
                gzip_static on;
        }

# default location
        location / {
                index index.php index.html index.htm;
                proxy_pass              https://127.0.0.1:4443;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header        HTTPS           YES;
                ######################################################################
                ## Dev site Protection Requests in location /
                ######################################################################
                # Дабы дев сайты не индексировались поисковиками, принудительно
                # Ставим пароли на них,  все что начинается с dev,old. или домен ks03
                        if ($http_host ~* "^(dev|old|www.old|www.dev)\..*\..{2,8}$"){
                                return 555;
                                }
                                if ($http_host ~* "^.*\.ks03\.ru$"){
                                return 555;
                                }

                                proxy_set_header X-Forwarded-Proto https;
                                include /etc/nginx/locations.d/*.conf;
                }
}

Далее повторяем уже для http

Answer 2

[cowan]

Виктор Таран
Так у меня идет проксирование на бэкэнд по https. Принимающая сторона это iRedMail (192.168.1.85). Он вообще своей жизнью живет.
Размер конфига конечно пугающий, попробую разобраться.
А Вам отдельно рекомендую пароль авторизации для phpmyadmin изменить.

Comments

[Виктор Таран]

так у меня phpmyadmin двумя паролями закрыт, родной и htpass
Конфиг напомню только для https для http посути новый server {
и почти тоже самое.
Так же не забывайте вам может могут не понадобиться многие вещи, именно по этому они разбиты по блокам.
Теперь что касается сервера, то какова именно причина использование собственного.
У яндекса есть яндекс коннект - делигируйте на него почту для сайта и все.
Из профита
1. не вы держите инфроструктуру
2. место не ограничено
3. вообще бесплатно
4.почтовый клиент обновляется сам.
5 и главное, защитой от спама занимаетесь не вы

[cowan]

@shambler81
У вас phpmyadmin закрыт логином и паролем - dev. Это же мягко говоря не очень надежно. Извините, не удержался проверить.
По поводу яндекса - исключено, так же как и biz.mail.ru. У нас в компании строго к шареным сервисам, да и не солидно это. У вас всегда в служебных заголовках будет лезть mail.ru. А у нас международные переписки и домен "ru" там совершенно не нужен.
По конфигу пока решил оставить свой вариант. В любом случае глюков в работе не было замечено.
По поводу защиты от спама - тоже не актуально, у нас pfSense на входе с pfBlocker, а там DNSBL с обновлением раз в 3 часа со всех сервисов типа барракуда и пр. СПАМ просто отсутствует.
В любом случае спасибо за ответ. С праздником!

[Виктор Таран]

cowan, взлом движко не происходит в ручном режиме все это роботы.
Притом направленные на определенный движок и определенную версию движка.
Даже добавив в нее доп автаризацию вы собьете скрипт. и вирус уже не сможет вас атаковать.
Ручной же режим на ваши поделки никто не полезет.

2. что там будет у вас лезть по поводу майла?
что там не солидно?
вы поднимаете собственный почтой сервер потому что? в заголовках письма будет яндекс?
И видать Gsute тоже зашквар?
У меня на яндексе сидят клиентры, и не один оборотами 2-8 Млрд в мес и не шкварятся.
А у вас все серьезно, не сертифицированный в россии pfsense как система безопасности, это норм
опенсорс почтовый сервер - это норм. А вот крупнейший мировой гигант в теле письма, это зашквар.
;)
Тем более кто из клиентов вообще будет лезть в тело письма
А DKIM DMARC и тд все будет от имени домена.
Отправитель будет именно ваш домен.
что касается спама то pfsense это здорово
pfBlocker тоже здорово но у яндекса есть и собственные наработки которые он никому не дает естественно. и качество их фильтра естественно лучше чем опенсорс.

С праздником !

[cowan]

Виктор Таран считайте как хотите, про авторизацию. Я всего лишь написал про логин и пароль из 3-х символов )) Признайте хотя бы это.
По всему остальному - скажу лишь, что вы явно любитель предлагать своим клиентам решения, основываясь на всем готовом и не требующим вложений.
Дело ваше, каждый зарабатывает как может. Нравится mail.ru - пожалуйста, нравится - yandex - пожалуйста. Размещайте своих клиентом там. Только не надо в этом случае готовить что-то про безопасность передачи данных и корпоративный уровень.
DKIM, DMARC, SPF тут вообще не причем. Я сказал про фигурирование домена mail.ru (который вы очень любите и пиарите) в служебных заголовках.
А ругать pfSense и другие прекрасные OS - глупо. Вы железом не занимаетесь и все погружаете в "облака". Это понятно. Наверное и ваши клиенты "оптимизированную" бухгалтерию с млрдами рублей в мес. держат на яндекс.диске и пересылают по mail.ru. Не удивлюсь. А точнее я в этом просто уверен.
А вообще это все флуд пошел. Сабж был совершенно не об этом.

[Виктор Таран]

cowan, pfsense люблю и даже принимал активную деятельность в развитие лет 8 назад ;)