Gehärtete Distribution Rocky nginx Webproxy: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
* Nginx wird als Reverse Proxy für den internen Mail-Server '''mail.it213.int''' unter dem Namen '''revproxy.it213.int''' eingesetzt. | * Nginx wird als Reverse Proxy für den internen Mail-Server '''mail.it213.int''' unter dem Namen '''revproxy.it213.int''' eingesetzt. | ||
* Alle Verbindungen werden über '''HTTPS''' gesichert, um eine sichere Kommunikation zu gewährleisten. | * Alle Verbindungen werden über '''HTTPS''' gesichert, um eine sichere Kommunikation zu gewährleisten. | ||
| + | == Zertifikate besorgen == | ||
| + | *cd /etc/nginx/ssl | ||
| + | *wget https://web.samogo.de/certs/star.it213.int.crt | ||
| + | *wget https://web.samogo.de/certs/star.it213.int.key | ||
| + | |||
== Nginx-Konfiguration == | == Nginx-Konfiguration == | ||
| Zeile 11: | Zeile 16: | ||
server { | server { | ||
listen 443 ssl; | listen 443 ssl; | ||
| − | server_name revproxy. | + | server_name revproxy.it213.int; |
# TLS/SSL-Zertifikate | # TLS/SSL-Zertifikate | ||
| Zeile 26: | Zeile 31: | ||
} | } | ||
</pre> | </pre> | ||
| + | |||
| + | ==Restart des nginx== | ||
| + | *systemctl restart nginx | ||
| + | ==Testen bei Problemen== | ||
| + | *sudo ausearch -m avc -ts recent | ||
| + | |||
| + | ==SElinux== | ||
| + | ;Um Nginx zu erlauben, auf Netzwerkressourcen zuzugreifen muss man dies SELinux mitteilen- | ||
| + | *sudo setsebool -P httpd_can_network_connect 1 | ||
| + | *sudo systemctl reload nginx | ||
| + | ;Bei weiteren Verstössen testen | ||
| + | *sudo ausearch -m avc -ts recent | ||
== Nginx neu laden == | == Nginx neu laden == | ||
* sudo systemctl reload nginx | * sudo systemctl reload nginx | ||
Aktuelle Version vom 3. Juli 2025, 10:26 Uhr
Webproxy mit Nginx für HTTP und HTTPS
Einführung
- Nginx wird als Reverse Proxy für den internen Mail-Server mail.it213.int unter dem Namen revproxy.it213.int eingesetzt.
- Alle Verbindungen werden über HTTPS gesichert, um eine sichere Kommunikation zu gewährleisten.
Zertifikate besorgen
- cd /etc/nginx/ssl
- wget https://web.samogo.de/certs/star.it213.int.crt
- wget https://web.samogo.de/certs/star.it213.int.key
Nginx-Konfiguration
- vi /etc/nginx/conf.d/revproxy.it213.int.conf
server {
listen 443 ssl;
server_name revproxy.it213.int;
# TLS/SSL-Zertifikate
ssl_certificate /etc/nginx/ssl/star.it213.int.crt;
ssl_certificate_key /etc/nginx/ssl/star.it213.int.key;
# Weiterleitung der Anfragen an den internen Mail-Server
location / {
proxy_pass https://mail.it213.int;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Restart des nginx
- systemctl restart nginx
Testen bei Problemen
- sudo ausearch -m avc -ts recent
SElinux
- Um Nginx zu erlauben, auf Netzwerkressourcen zuzugreifen muss man dies SELinux mitteilen-
- sudo setsebool -P httpd_can_network_connect 1
- sudo systemctl reload nginx
- Bei weiteren Verstössen testen
- sudo ausearch -m avc -ts recent
Nginx neu laden
- sudo systemctl reload nginx