OPNsense WAF nginx: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= Ziel = * nginx auf der OPNsense soll als '''W'''eb '''A'''pplication '''F'''irewall (WAF) benutzt werden, um Webanfragen auf bösartige Pakete zu filtern * D…“) |
K (Thomas.will verschob die Seite OPNsense nginx nach OPNsense WAF nginx) |
||
| (11 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{#drawio:opnsense-nginx-01}} | {{#drawio:opnsense-nginx-01}} | ||
| + | |||
| + | = Terminologie im Vergleich zu HAProxy = | ||
| + | * Upstream Server: Real Server | ||
| + | * Upstream: Backend Pool | ||
| + | * HTTP Server: Public Service | ||
| + | * Location: Condition + Rule | ||
| + | |||
| + | = Konfiguration = | ||
| + | * Als Testumgebung haben wir einen Webserver auf dem zwei verschiedene Webdienste laufen: | ||
| + | ** [[Juice Shop]] für HTTP | ||
| + | ** ein [[einfacher HTTPS Server]] | ||
| + | * Der Webserver hat die IP ''172.17.17.10'' und lauscht auf den Ports 80 und 443 | ||
| + | * nginx kann auf der OPNsense über '''System => Firmware => Plugins''' installiert werden | ||
| + | |||
| + | [[Bild:opnsense-nginx-02.png|1500px]] | ||
| + | |||
| + | * Die Konfiguration findet dann in '''Services => Nginx => Configuration''' statt | ||
| + | |||
| + | == Upstream == | ||
| + | |||
| + | *'''Upstream => Upstream Server''' | ||
| + | [[Bild:opnsense-nginx-03.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-04.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-05.png]] | ||
| + | |||
| + | *'''Upstream => Upstream''' | ||
| + | [[Bild:opnsense-nginx-06.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-07.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-08.png]] | ||
| + | |||
| + | == WAF Regeln == | ||
| + | *'''HTTP(S) => Naxsi WAF Rule''' | ||
| + | [[Bild:opnsense-nginx-09.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-10.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-11.png]] | ||
| + | |||
| + | *'''HTTP(S) => Naxsi WAF Policy''' | ||
| + | [[Bild:opnsense-nginx-12.png]] | ||
| + | |||
| + | == Reverse Proxy == | ||
| + | *'''HTTP(S) => Location''' | ||
| + | [[Bild:opnsense-nginx-13.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-14.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-15.png]] | ||
| + | |||
| + | *'''HTTP(S) => HTTP Server''' | ||
| + | [[Bild:opnsense-nginx-16.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-17.png]] | ||
| + | |||
| + | [[Bild:opnsense-nginx-18.png]] | ||
| + | |||
| + | == nginx aktivieren == | ||
| + | [[Bild:opnsense-nginx-19.png]] | ||
| + | |||
| + | == Firewall Regeln == | ||
| + | [[Bild:opnsense-nginx-20.png|1500px]] | ||
Aktuelle Version vom 20. Oktober 2024, 12:24 Uhr
Ziel
- nginx auf der OPNsense soll als Web Application Firewall (WAF) benutzt werden, um Webanfragen auf bösartige Pakete zu filtern
- Die internen Verbindungen zum Webserver soll HTTP und HTTPS unterstützen
- Zum Client soll nur HTTPS erlaubt sein
![Bearbeiten](javascript:editDrawio("2085254481", "opnsense-nginx-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Terminologie im Vergleich zu HAProxy
- Upstream Server: Real Server
- Upstream: Backend Pool
- HTTP Server: Public Service
- Location: Condition + Rule
Konfiguration
- Als Testumgebung haben wir einen Webserver auf dem zwei verschiedene Webdienste laufen:
- Juice Shop für HTTP
- ein einfacher HTTPS Server
- Der Webserver hat die IP 172.17.17.10 und lauscht auf den Ports 80 und 443
- nginx kann auf der OPNsense über System => Firmware => Plugins installiert werden
- Die Konfiguration findet dann in Services => Nginx => Configuration statt
Upstream
- Upstream => Upstream Server
- Upstream => Upstream
WAF Regeln
- HTTP(S) => Naxsi WAF Rule
- HTTP(S) => Naxsi WAF Policy
Reverse Proxy
- HTTP(S) => Location
- HTTP(S) => HTTP Server
nginx aktivieren
Firewall Regeln
