OPNsense nginx

Aus xinux.net
Version vom 14. März 2024, 14:18 Uhr von Linkai.zhang (Diskussion | Beiträge) (→‎Konfiguration)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Ziel

  • nginx auf der OPNsense soll als Web Application Firewall (WAF) benutzt werden, um Webanfragen auf bösartige Pakete zu filtern
  • Die internen Verbindungen zum Webserver soll HTTP und HTTPS unterstützen
  • Zum Client soll nur HTTPS erlaubt sein

Terminologie im Vergleich zu HAProxy

  • Upstream Server: Real Server
  • Upstream: Backend Pool
  • HTTP Server: Public Service
  • Location: Condition + Rule

Konfiguration

  • Als Testumgebung haben wir einen Webserver auf dem zwei verschiedene Webdienste laufen:
  • Der Webserver hat die IP 172.17.17.10 und lauscht auf den Ports 80 und 443
  • nginx kann auf der OPNsense über System => Firmware => Plugins installiert werden

Opnsense-nginx-02.png

  • Die Konfiguration findet dann in Services => Nginx => Configuration statt

Upstream

  • Upstream => Upstream Server

Opnsense-nginx-03.png

Opnsense-nginx-04.png

Opnsense-nginx-05.png

  • Upstream => Upstream

Opnsense-nginx-06.png

Opnsense-nginx-07.png

Opnsense-nginx-08.png

WAF Regeln

  • HTTP(S) => Naxsi WAF Rule

Opnsense-nginx-09.png

Opnsense-nginx-10.png

Opnsense-nginx-11.png

  • HTTP(S) => Naxsi WAF Policy

Opnsense-nginx-12.png

Reverse Proxy

  • HTTP(S) => Location

Opnsense-nginx-13.png

Opnsense-nginx-14.png

Opnsense-nginx-15.png

  • HTTP(S) => HTTP Server

Opnsense-nginx-16.png

Opnsense-nginx-17.png

Opnsense-nginx-18.png

nginx aktivieren

Opnsense-nginx-19.png

Firewall Regeln

Opnsense-nginx-20.png

Abgerufen von „https://xinux.net/index.php?title=OPNsense_nginx&oldid=52348