OPNsense Forum
International Forums => German - Deutsch => Topic started by: meyerf on August 30, 2019, 11:03:58 am
-
Hallo Liebe Community
Aktuell bin ich auf der Suche nach einer WAF Möglichkeit auf der OPNsense Firewall im Bezug auf das HAProxy Modul.
Besteht die Möglichkeit das Nginx WAF Modul welches als OPNsense Add-on gibt zusammen mit HAProxy zu betreiben.
Evtl. gibt es noch andere Möglichkeiten die ich aktuell nicht kenne.
Würde mich sehr freuen über eure Erfahrung.
Danke und Gruss,
Flavio
-
Nginx plus WAF leitet weiter an lokalen Haproxy als Reverse Proxy zB
-
Vielen Dank für den raschen Input. Schaue mir das heute Nachmittag gleich an :)
Verstehe ich es richtig, dass du mit Nginx Plus WAF das OPNsense Nginx WAF Modul meinst?
Grüsse Flavio
-
Ja, du richtest Nginx und die WAF Funktion als ReverseProxy ein und leitest weiter an HAproxy, der hört halt auf localhost mit einem anderen port und der wiederrum leitet weiter an das backend
-
Bevor ich das noch mal erkläre: Überlege dir auch gleich ob du die Bot Protection am http server ausschaltest. Das Blockiert User-Agents, die gerne für Bot-Traffic verwendet werden - zum Beispiel python requests. Kann leider auch false positives haben.
Ich scheibs mal lieber gleich weil da verzweifelt gerade einer dran, eine advanced checkbox zu setzten:
https://forum.opnsense.org/index.php?topic=14037.msg64571
-
Hallo @fabian
Ich habe nun mehrere Stunden versucht, dass Setup bei mir lokal vernünftig laufen zu lassen ohne jeglichen Erfolg.
Nun stellt sich mir schon die Frage, benötige ich wirklich noch HAProxy oder könnte ich sogar alles via Nginx und dem WAF Module abdecken.
Folgende Anforderungen habe ich:
- SSL Zertifikat via Let's Encrypt Modul
- URL Weiterleitung zum Beispiel x.x.com/a soll intern weitergeleitet werden auf /b.html ohne das die URL im Browser sich verändert
- Multi WAN IP ansprechen (Virtual IP's)
Aktuell ist es so, dass das HAProxy Setup super funktioniert ausser die WAF Funktion fehlt.
Welchen Weg empfehlst du einzuschlagen oder welche Erfahrungen hast du schon gesammelt in diesem Bereich?
Ist es überhaupt möglich, verschiedene IP's im Nginx Modul zu hinterlegen (als Listen Adresse)?
Ich danke dir im Voraus für deine Rückmeldung.
Grüsse Flavio
-
Folgende Anforderungen habe ich:
- SSL Zertifikat via Let's Encrypt Modul
- URL Weiterleitung zum Beispiel x.x.com/a soll intern weitergeleitet werden auf /b.html ohne das die URL im Browser sich verändert
- Multi WAN IP ansprechen (Virtual IP's)
Das nginx plugin arbeitet bez. ACME genau gleich wie HAProxy. Da musst du nichts ändern. Im Server muss die entsprechende Checkbox angekreuzt sein.
URL-Rewriting sollte gehen zumindest im Server.
Multi-Wan sollte nicht relevant sein - siehe unten.
Aktuell ist es so, dass das HAProxy Setup super funktioniert ausser die WAF Funktion fehlt.
Welchen Weg empfehlst du einzuschlagen oder welche Erfahrungen hast du schon gesammelt in diesem Bereich?
Wenn du kein spezielles Load Balancing brauchst, reicht nginx vermutlich auch.
Ist es überhaupt möglich, verschiedene IP's im Nginx Modul zu hinterlegen (als Listen Adresse)?
Lasse ich aus Stabiliätsgründen nicht zu. Nginx hört immer auf alle IP-Adressen.
-
Danke für dein Feedback.
Schade das aus Stabilitätsgründen das einschränken der IP's auf welche Nginx hören soll nicht implementiert ist.
Ist geplant, dass dies in naher Zukunft in den Code mit aufgenommen wird?
Finde aktuell generell das Nginx Plugin sehr unstabil und grösstenteils lässt es sich gar nicht starten ohne Reboot.
Da fehlen mir irgendwelche Error Meldungen...
Finde das HAProxy aktuell um Welten besser, wenn eine WAF Funktion noch integriert wäre, dann 1A ;D
-
Danke für dein Feedback.
Schade das aus Stabilitätsgründen das einschränken der IP's auf welche Nginx hören soll nicht implementiert ist.
Ist geplant, dass dies in naher Zukunft in den Code mit aufgenommen wird?
Nein, hab ich nicht vor.
Finde aktuell generell das Nginx Plugin sehr unstabil und grösstenteils lässt es sich gar nicht starten ohne Reboot.
Da fehlen mir irgendwelche Error Meldungen...
Wieso? Viele sind schon am Klicken des richtigen Reload-Buttons gescheitert (der kleine unten rechts).
Was funktioniert nicht?
Finde das HAProxy aktuell um Welten besser, wenn eine WAF Funktion noch integriert wäre, dann 1A ;D
Wird es vermutlich niemals geben, da WAF nicht im Scope von HAProxy ist. Das ist ein purer LB.
-
HAProxy hat auch eine WAF, aber nur in der kommerziellen Variante.