HAProxy und NGINX

[kosta]

Hallo,

ich habe ursprünglich ein langes Posting gemacht, gelöscht, und jetzt erstmal ne einfache Frage:

Mein haproxy funkt so:
Real Webservers (als Beispiele): esxi_webgui, ipmi_webgui -> reale IP+Port
Dann die Backend Pools: die auf die Real Webservers angebunden sind
Public Service (Frontend): Listen Address: GatewayIP des VLANs + Port, LE Zertifikat
DNS Einträge im Unbound (Overrides): esxi.domain.co.at -> GatewayIP des VLANs
Ich rufe auf: esxi.domain.co.at:port und alles ist gut, LE Zertifikat wird genommen.

Kann nginx sowas? Denn, haproxy kann (in non-kommerzieller Version) kein WAF.

[micneu]

also verstehe ich dich richtiog du hast den haproxy und den nginx auf der sense am laufen?
was sagt denn die doku vom nginx?

Gesendet von iPad mit Tapatalk Pro

[kosta]

Sie sind *installiert*, aktuell verwende ich nur den haproxy, nginx habe ich daweil deaktiviert.

Ja, die Doku vom nginx erklärt immer WAN -> nginx -> Webserver.
Ich habe noch keine Referenz dazu gefunden, dass man LAN -> nginx -> Webserver machen könnte.

[micneu]

alsi ich setze den haproxy und le ein, und bei mir läuft es auch ohne den nginx auf der sense


Gesendet von iPad mit Tapatalk Pro

[kosta]

Ja, aber wenn ich verstehe, ohne WAF? Das wäre der Grund warum ich Richtung nginx gucke.

[micneu]

Ja, aber wenn ich verstehe, ohne WAF? Das wäre der Grund warum ich Richtung nginx gucke.

wo in deinem ersten post steht was von WAF?

[lfirewall1243]

Ob die Pakete nun vom LAN oder WAN kommen ist dem Nginx egal solange dein Routing, NAT etc. mitspielt.
Aber was hast du am Ende vor, wirkt irgendwie kurios... WAF für die Pakete aus dem LAN an deinen Webserver??

https://docs.opnsense.org/manual/how-tos/nginx_waf.html

[kosta]

Ja, aber wenn ich verstehe, ohne WAF? Das wäre der Grund warum ich Richtung nginx gucke.

wo in deinem ersten post steht was von WAF?

Stand nix davon, sorry, hab dann hinzugefügt.

[kosta]

Ob die Pakete nun vom LAN oder WAN kommen ist dem Nginx egal solange dein Routing, NAT etc. mitspielt.
Aber was hast du am Ende vor, wirkt irgendwie kurios... WAF für die Pakete aus dem LAN an deinen Webserver??

https://docs.opnsense.org/manual/how-tos/nginx_waf.html

Nein. Sind Dienste die ich vom außen zugreifen werde, und zwar den Nextcloud Server, der soll ohne VPN funktionieren und auch vermutlich zum späteren Zeitpunkt noch RDWeb (Broker für RDS Server). Webserver, vielleicht... aktuell nicht. Und für alle diese Dienste verstehe ich dass WAF eine sinnvolle Implementierung ist, einfach als Schutz. Ich sag auch dass ich mich aktuell mit dem Thema nur ganz wenig auskenne, aber lernen kann ich nicht alles gleich. Mit der Zeit. Ich möchte erstmal die Option haben es zu machen.
Macht Sinn?

[lfirewall1243]

Tipp: Mach möglichst alles per VPN.
Und schon garnich RDWeb ohne VPN o.ä.

Wenn du schon sagst du kennst dich mit dem Thema IT-Sicherheit nicht so viel aus, mach es per VPN

[kosta]

Tipp: Mach möglichst alles per VPN.
Und schon garnich RDWeb ohne VPN o.ä.

Wenn du schon sagst du kennst dich mit dem Thema IT-Sicherheit nicht so viel aus, mach es per VPN

In der Firma mache ich es eh so. Aber eben zu Hause ist meine Spielwiese, und da wollte ich die Sache ja erweitern. Ich weiß dass es mit VPN "einfach" wäre. Aber Nextcloud würde ich schon gerne ohne VPN ansprechbar machen und dann auch schauen was ich als Hardening tun kann. Ist das schwer nachzuvollziehen?

[micneu]

Tipp: Mach möglichst alles per VPN.
Und schon garnich RDWeb ohne VPN o.ä.

Wenn du schon sagst du kennst dich mit dem Thema IT-Sicherheit nicht so viel aus, mach es per VPN

In der Firma mache ich es eh so. Aber eben zu Hause ist meine Spielwiese, und da wollte ich die Sache ja erweitern. Ich weiß dass es mit VPN "einfach" wäre. Aber Nextcloud würde ich schon gerne ohne VPN ansprechbar machen und dann auch schauen was ich als Hardening tun kann. Ist das schwer nachzuvollziehen?

so wie du schreibst (ist meine auffassung) kommt es mir so rüber "frag nicht so viel, erkläre mir endlich wie ich das machen kann". also, was hat denn zu dem thema deine recherche ergeben, hast du zu dem thema was im forum gefunden? oder wenn du es nicht mit der sense hinbekommst, dann setze dir doch eine nginx auf einer anderen hardware auf und nutze den als reverse proxy mit deinem WAF. dann musst du dich nicht immer mit unseren fragen und ratschlägen rumschlagen.

PS: Kritik bitte per PN

[JeGr]

> In der Firma mache ich es eh so. Aber eben zu Hause ist meine Spielwiese, und da wollte ich die Sache ja erweitern. Ich weiß dass es mit VPN "einfach" wäre.
> Aber Nextcloud würde ich schon gerne ohne VPN ansprechbar machen und dann auch schauen was ich als Hardening tun kann. Ist das schwer nachzuvollziehen?

Jeder Admin/Nutzer wäre froh, wenn ers einfach per VPN machen könnte. Und mit OVPN oder WG hat man auch noch 2 einfache und schnelle Varianten. Ich hätte es jetzt verstanden wenn mans in Firmen unbedingt aufmachen muss weil ein Chef meint, es muss auch ohne VPN gehen, aber warum sollte man eine Sache "schlecht machen" nur weils eine Spielwiese ist? Normalerweise macht man es in Spielwiesen eher besser/sicherer als man es IRL dann umsetzen kann. Daher verstehe ich die Antworten, die sagen "mach es doch einfach VPN only".

Ansonsten: Nginx ist primär ein Webserver, der auch ein (Reverse) Proxy Modul hat und den man somit als Proxy nutzen kann. Also ja, damit kann man natürlich auch mehrere Requests auf <IP:Port> annehmen und per SNI verteilen - ist ja u.a. sein Job als Webserver. Und das dann ggf. mit Reverse Proxy Modul dann eben auch auf gezielte Backends verteilen. HAProxy ist hier primär Proxy und Loadbalancer, kein Webserver. Daher: anderer Einsatzzweck.

Also ja, du kannst da Nginx als Reverse Proxy mit ModSecurity anklemmen. Die sollte man dann aber auch sinnvoll konfigurieren. WAF ist da keine Checkbox und dann Fire&Forget

[kosta]

Jeder Admin/Nutzer wäre froh, wenn ers einfach per VPN machen könnte. Und mit OVPN oder WG hat man auch noch 2 einfache und schnelle Varianten.

Ich habe sowohl OVPN und WG im Einsatz, und kenne das. Löse mittlerweile sehr viel mit VPN in der Firma. Alles gut und soweit meine technischen Kenntnisse das erlauben, möglichst sicher.

aber warum sollte man eine Sache "schlecht machen" nur weils eine Spielwiese ist

Weil ich sonst keine andere Möglichkeit habe, etwas neues zu lernen.

Normalerweise macht man es in Spielwiesen eher besser/sicherer als man es IRL dann umsetzen kann.

Genau! Ich plane irgendwann einen Webserver für gewisse Sachen in der Firma haben, plane nachdem unsere Sophos Lizenz abgelaufen ist auf was anderes umzusteigen - sei das OPNsense oder anderes Produkt, kA.
Und das passiert voraussichtlich in 3 Jahren.
Ich habe zu Hause keine kritische Infrastruktur, sodass ich andere Sachen nicht ausprobieren könnte.
Für einen öffentlichen Webserver bringt mir VPN nix ;-)

Dass Nginx primär ein Webserver ist, das habe ich schon geschnallt. Aber auf der Sense macht das wenig Sinn, oder? Da agiert er eher als Proxy und Balancer. Die Firewall agiert doch nicht als Webserver...

Soweit ich das gesehen habe, kann ich beide Side-by-side verwenden. Ich habe gerade die Nextcloud über nginx laufen (wobei noch nicht sauber konfiguriert).

Frage: was ist ModSecurity?

Und ja, dass WAF keine Fire&Forget ist, weiß ich. Immerhin ist das einer der Themen mit denen ich mich beschäftigen will. Was dafür notwendig sein wird, Webserver, welche Art, weiß ich nicht, aber wie jeder andere Mal, muss ich die Sache erstmal lernen.

[micneu]

Was dafür notwendig sein wird, Webserver, welche Art, weiß ich nicht, aber wie jeder andere Mal, muss ich die Sache erstmal lernen.

ich habe noch niemanden bisher im forum gesehen der das haben wollte. denke da musst du dich mit google und dokumentation von dem jeweiligen produkt begnügen. und wenn es nicht über die gui geht, na dann würde ich davon die finger lassen. denn beim nächsten update können deine händisch gemachten änderungen verschwinden


Gesendet von iPad mit Tapatalk Pro