NGINX Reverse Proxy sicher konfigurieren?

Hallo,

ich habe eine grundsätzliche Frage dazu, wie man NGINX sicher als Reverse Proxy einsetzt und leider nicht wirklich was dazu im Netz gefunden.

Mal angenommen auf Server A läuft eine Webapplikation, die auf 10.0.0.1:5000 hört und auf Server B läuft mein NGINX, der auf 10.0.0.2:80/443 hört. Ich möchte also von Server A zu B einen Reverse Proxy machen und die Verbindung soll mit TLS abgesichert sein.

upstream serverA {
    server 10.0.0.1:5000;
}

server {
    server_name example.org;
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

    location / {
        proxy_pass http://serverA;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Nginx-Proxy true;
        proxy_redirect off;
    }

}

... HTTPS redirect

Aber jetzt ist doch nicht der Traffic von Server B also dem NGINX, auf den der Nutzer zugreift zu Server A, der Webapplikation verschlüsselt oder liege ich da falsch? Falls er nicht verschlüsselt ist, wie erreiche ich das? Ist hier eine einfache Firewall Regel auf Server A schon ausreichend? Im Sinne von

ufw allow in from 10.0.0.2 to any port 5000/tcp

Danke für alle Antworten

1 Antwort

Thomasg

19.02.2022, 15:33

Ja, das siehst du richtig, die Verbindung von Server A zu Server B ist unverschlüsselt.

Eine Firewallregel wird daran nichts ändern.

Je nach eingesetzter Webapplikation könnte man dort noch eine SSL Verschlüsselung aktivieren. In der Regel ist es aber nicht gewollt, dass die Webapplikation auch noch um Verschlüsselung kümmert.

Um die Verbindung dazwischen zu verschlüsseln, gibt es verschiedene Möglichkeiten.

auf Server A einen NGINX als Reverse Proxy vor die Webapplikation schalten und den NGINX mit https konfigurieren. Der nginx auf Server B macht dann den proxy pass auf https://serverA
du konfigurierst einen stunnel zwischen den beiden Servern und setzt den Proxy Pass dann auf den lokalen stunnel Port.
du konfigurierst eine VPN Verbindung zwischen den beiden Servern und lässt den nginx die Verbindung dann durch den von Tunnel zu deiner Webapplikation aufbauen.

Variante 1 ist nach meiner Erfahrung die einfachste und stabilste Methode.

Woher ich das weiß:Berufserfahrung

Ähnliche Fragen

Nginx reverse Proxy?

Heyho,

Keine Ahnung ob ich hier wen finde der mir helfen kann aber gut.
Es geht um meinen reverse Proxy, ich bin relativ neu in der Netzwerk Technick und versuche gerade einen reverse Proxy vor meinen eigentlichen Server zu stellen.

Und zwar habe ich Nginx auf einem anderen debian 11 Server installiert und wollte von dort aus dann meine Dienste öffentlich machen um die eigentliche IP meines Hauptservers zu verstecken. Dazu wollte ich dann bei Nginx einen Stream machen der dann so funktioniert:

%IP VOM REVERSE%:4444 -> %IP VOM HAUPT%:25565

Funktioniert leider nicht, nichtmal mit dem Port 9090 (Auf meinem Hauptserver läuft cockpit port 9090). Habe die Ports auch in die Docker config geschrieben ...

...zur Frage

Eine Nginx Instanz in einer Nginx Reverse Proxy?

Hey, ich habe Nextcloud in einem Stack zusammen mit Nginx laufen. Das funktioniert auch und man kann über die IP:port auf die Website zugreifen. Nun habe ich aber einen Nginx Container für alle Requests, welche eine Reverse Proxy zu meinem Nginx Container von Nextcloud erstellen soll. Über die Domain werden alle Daten geladen außer die Assets aus den Unterordern der Cloud wie /core, ...

Der Nginx Container im Stack funktioniert ohne Probleme.

Meine Haupt-Nginx-Instanz:

server { 
    listen 443 ssl http2; 
    listen [::]:443 ssl http2;  

    server_name team.domain.com;  

    include /etc/nginx/configs/team/tls.conf;  

    location / {     
        root /home/team;     
        try_files $uri $uri/ = 404;
    }  

    location /nextcloud/ {     
        proxy_http_version 1.1;     
        proxy_set_header Host $host;     
        proxy_set_header Connection "";     
        proxy_pass http://ip:port;
    } 
}

...zur Frage

NGINX Proxy Manager Stream funktioniert nicht?

Hi,

ich versuche einen stream in NGINX einzurichten jedoch leitet der reverse proxy nicht weiter. Weder wenn ich die domain noch die IP benutze. Vielleicht liegt es daran das ich versuche auf Server ausserhalb von docker zu verweisen ?

Falls das zutrifft hat jemand eine Lösung wie das möglich wäre?

...zur Frage

SSL Zertifikat für Mailserver (MailCow)?

Guten Abend zusammen!

Ich nutze Mailcow als Mailserver auf meinem Ubuntu-System. Mit dem Certbot habe ich für meinen Apache-Server bereits ein Zertifikat für meine Domain erstellt.

Nun ist die Frage, wie kann ich meine Mails auch verschlüsselt verschicken? Ich habe gerade nachgeschaut und bin der Meinung, dass meine Mails wohl nicht mal TLS verschlüsselt sind.

Ich bitte um Hilfe, da ich meine Mail eigentlich dringend brauche aber nicht verschlüsselt nicht kommunizieren will.

...zur Frage

Wie kann ich SSL hinter einem Reverse-Proxy erzwingen?

Hallo liebe Community,

ich konfiguriere zur Zeit einen WordPress-Server. Dieser soll hinter einem Apache Reverse Proxy aus dem Internet erreichbar sein. Ich habe bereits meherer Dienste hinter dem Reverse Proxy laufen und habe mir herfür Let´s encrypt Zertifikate auf dem Reverse Proxy installiert. Leider funktioniert das bei WordPress nicht. Beim Aufrufen der Seite aus dem Internet erscheint die Meldung "gemischte Inhalte wurden blockiert".

Gibt es bei WordPress eine gesonderte Herangehensweise?

Danke im Voraus für Eure Hilfe!

...zur Frage

Mailserver hinter Reverse Proxy (nginx)?

Hallo,

Ich habe Mail in a box installiert.

Wie bekomme ich das ganze nun SSL verschlüsselt?

Ich besitze bereits ein Server auf dem ein Nginx reverse Proxy installiert ist.

( Zertifikate werden dort erstellt und erneuert)

Nochmal zum Verständnis>

wie bekomme ich das Webinterface hinter den Proxy ?

( Bei Einbindung bekomm ich den Fehler > Zu viele Weiterleitungen)

+ Wie bekomme ich die Email verschlüsselt versendet?

...zur Frage

Reverse Proxy mit dyndns?

Hallo,

Ich hab zuhause mehrere Server die die gleichen Ports benötigen aber müssen trotzdem über meine domain erreichbar sein, dementsprechend brauch ich einen reverse proxy server.

Ich hab mich schon ein wenig umgeschaut aber leider braucht man bei denen die ich gesehen hab immer eine fixe öffentliche IP.

Da ich die als Privatperson leider nicht bekomme ist meine frage, ist es überhaupt noch möglich einen reverse proxy server einzurichten?

Und falls ja welcher bzw gibts dazu ne Anleitung? (Bin noch nicht ganz so erfahren)

Danke im voraus!

...zur Frage

Werden Gespräche auf Teamspeak 3 abgehört? - SSL Verschlüsselung

Ich habe heute gelesen, das die Skype Gespräche von den US behörden abgehört werden.

Doch ist das bei Teamspeak 3 genauso? Man kann nämlich Voice Server kaufen, die SSL verschlüsselt sind. Ist es trotzdem möglich die Gespräche oder denn Chat abzuhören?

Link zu denn Einstellungen: http://gyazo.com/61a6420ec73dde5b2aadb4cac7d48143.png

Danke im Vorraus

...zur Frage

Nginx reverse proxy als tls layer?

hallo kurze frage (ja oder nein) wenn ich eine NGINX reverse Proxy laufen lasse die via Certbot TLS nutzt (also NGINX hat https) und die reverse proxys im hintergrund kein https/self signed (nicht alle) ist die verbindung dann über NGINX dann trotzdem verschlüsselt?

Eigentlich ja oder? weil die daten werden zwar unverschlüsselt empfangen aber dann ja wieder von NGINX verschlüsselt und weitergeleitet.

...zur Frage

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zur Frage

Idee wieso ich den DNS-Server und Mailserver nicht anpingen kann?

IP sind richtig verteilt und stehen außen immer richtig. DNS(10.0.0.1) Mail(10.0.0.2)

Mit einem PC kann ich den unteren Router(Intranet) anpingen, ich komme aber nicht an die Server sowie den anderen Router ran. Weiß wer wieso?

Habe keine statischen routen o.ä verteilt.

...zur Frage

Strato Wildcard SSL Zertifikat in Nginx Proxy?

Hallo,

ich habe einen Proxmox Server und auf diesem einige Container laufen, die außerhalb des Netzwerks erreichbar sind. Da ich nicht für jede Subdomain ein eigenes Let's encrypt Zertifikat generieren möchte, kam mir der Gedanke ein Wildcard Zertifikat zu generieren, das ich dann für alle Subdomains nutzen kann.

Im Nginx Proxy Manager, über den die Subdomains verteilt werden, braucht man eine DNS Challenge. Da gibt es aber leider nicht Srato zur Auswahl. Gibt es eine andere Möglichkeit, dieses zu generieren?

...zur Frage

Wie kann ich auf meinem Apache Webserver https einrichten?

Hallo,

Ich habe einen Apache Reverse Proxy und habe bereits versucht https mit Certbot einzustellen jetzt habe ich 2 config Dateien in Sites-enabled und weiß nicht an welcher ich was modifizieren kann damit die Änderung eintritt , nun habe ich einfach mal beide configdateien gelöscht und eine neue erstellt ich weiß auch bereits wo meine SSL Zertifikate liegen, aber ich weiß nicht was ich in die Config schreiben soll damit mein Server über https erreichbar ist.

...zur Frage

NGINX | PHP Website lädt sich runter und öffnet sich nicht?

Hallo, wie oben beschrieben, immer wenn ich auf meine Passwort gesicherte Seite öffne die mit Nginx läuft und index.html ist kann ich sie öffnen, aber wenn ich oben im reiter bei der Seite auf "Forum" gehe die mich auf page/forum/index.php weiterleitet wird sie nur Runtergeladen und nicht geöffnent.

Ich habe eine andere Seite wo ich den selben Code bei NGINX für PHP verwende, aber OHNE auth_basic, und die geht ohne Probleme.

Bei den Logs für Nginx sehe ich keine Probleme.

server {
    listen 443 ssl;
    server_name login.domain.de;
    root /var/www/html_domain/projek/login;
    ssl_certificate /etc/letsencrypt/live/domain.de/fullchain.pem; 
    ssl_certificate_key /etc/letsencrypt/live/domain.de/privkey.pem;
    index index.html index.htm index.php;
    
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.3-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ^~ /account/user2/ {
        auth_basic "user2";
        auth_basic_user_file /etc/nginx/login/.user2;
        try_files $uri $uri/ =404;
    }
    
    location ^~ /account/user/ {
        auth_basic "user";
        auth_basic_user_file /etc/nginx/login/.user;
        try_files $uri $uri/ =404; 
  }
}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen