режим обратного прокси

W

Waik

Guest
Всем привет.
Развернул в докере на отдельную машину по вашему мануалу
На втором сервер развернул тестовое веб-приложение DVWA. поставил на 80 порт.
Согласно мануала, создаю конфиг для отдельного прокси:
в /opt/nwaf/waf-config/conf.d создал файл examle.mydomain
Код файла:
Apache config: 
server {        
        server_name example.mydomain;
        listen 80;

        location / {
                proxy_pass http://x.x.x.x;
        }
}

example.mydomain - указывает на ip-адрес сервера где установлен WAF
x.x.x.x - указал ip-адрес сервера где установлен DVWA.

При попытке загрузки examle.mydomain в браузере получаю ERR_CONNECTION_REFUSED
 
Добрый вечер!

Проверьте error-логи Nginx на фильтрующей ноде и конечном сервере с веб-приложением.
 
Добрый день,
у меня такая же проблема.
1.) В мануала говорится о настройке со стороны сервера с WAF, чтобы принимать запросы от сервера с веб-приложением (как я понял указывается конечный сервер nginx с веб -приложением и порт от которого ждём запросы на обработку ), но какая настройка нужна на сервере с веб-приложением, чтобы отправить запросы обрабатывать, на сервер WAF? (по умолчанию же nginx на котором крутится веб-приложение сам обрабатывает все запросы к сайту, нужно же ему объяснить что запросы к сайту отправлять надо на waf )
 
Waik said:
Всем привет.
Развернул в докере на отдельную машину по вашему мануалу
На втором сервер развернул тестовое веб-приложение DVWA. поставил на 80 порт.
Согласно мануала, создаю конфиг для отдельного прокси:
в /opt/nwaf/waf-config/conf.d создал файл examle.mydomain
Код файла:
Apache config: 
server {      
        server_name example.mydomain;
        listen 80;

        location / {
                proxy_pass http://x.x.x.x;
        }
}

example.mydomain - указывает на ip-адрес сервера где установлен WAF
x.x.x.x - указал ip-адрес сервера где установлен DVWA.

При попытке загрузки examle.mydomain в браузере получаю ERR_CONNECTION_REFUSED
Click to expand...
Удалось ли победить проблему?
 
Leroy said:
Добрый день,
у меня такая же проблема.
1.) В мануала говорится о настройке со стороны сервера с WAF, чтобы принимать запросы от сервера с веб-приложением (как я понял указывается конечный сервер nginx с веб -приложением и порт от которого ждём запросы на обработку ), но какая настройка нужна на сервере с веб-приложением, чтобы отправить запросы обрабатывать, на сервер WAF? (по умолчанию же nginx на котором крутится веб-приложение сам обрабатывает все запросы к сайту, нужно же ему объяснить что запросы к сайту отправлять надо на waf )
Click to expand...
Добрый день!

Режим "Обратный прокси" предполагает, что сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn) будет выступать в качестве промежуточного сервера. То есть, этот сервер будет первым получать запрос от клиентов, обрабатывать его и проксировать до конечного веб-приложения с помощью опции proxy_pass.

Например, у вас есть:
1.1.1.1 - сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn);
2.2.2.2 - сервер конечного веб-приложения (например, example.com), куда будут проксироваться легитимные запросы.

Файл конфигурации фильтрующей ноды для проксирования трафика в общем случае будет выглядеть так:
Bash: 
server {     
        server_name example.com;
        listen 80;

        location / {
                proxy_pass http://2.2.2.2;
        }
}

ВАЖНО! Когда клиент обращается на example.com, то запрос должен поступать сначала на IP-адрес 1.1.1.1, а далее проксироваться на 2.2.2.2, если легитимный.
 
Добрый день!

Режим "Обратный прокси" предполагает, что сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn) будет выступать в качестве промежуточного сервера. То есть, этот сервер будет первым получать запрос от клиентов, обрабатывать его и проксировать до конечного веб-приложения с помощью опции proxy_pass.

Например, у вас есть:
1.1.1.1 - сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn);
2.2.2.2 - сервер конечного веб-приложения (например, example.com), куда будут проксироваться легитимные запросы.

Файл конфигурации фильтрующей ноды для проксирования трафика в общем случае будет выглядеть так:
Bash: 
server {    
        server_name example.com;
        listen 80;

        location / {
                proxy_pass http://2.2.2.2;
        }
}

ВАЖНО! Когда клиент обращается на example.com, то запрос должен поступать сначала на IP-адрес 1.1.1.1, а далее проксироваться на 2.2.2.2, если легитимный.
Click to expand...

1.) Уточните пожалуйста, а где именно настраивается/прописывается, что запрос должен поступать сначала на 1.1.1.1
2.)Если сейчас конфиг nginx на котором крутится сайт (но ещё не подключен к waf) содержит намного больше директив(https, задержки и т.п), надо ли эти директивы переносить в конфиг настройки обратного прокси для waf, или просто достаточно проксировать легитимные запросы далее будут обрабатываться на nginx сайта в соответствии с директивами конфига ?
 
Leroy said:
Добрый день!

Режим "Обратный прокси" предполагает, что сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn) будет выступать в качестве промежуточного сервера. То есть, этот сервер будет первым получать запрос от клиентов, обрабатывать его и проксировать до конечного веб-приложения с помощью опции proxy_pass.

Например, у вас есть:
1.1.1.1 - сервер фильтрующей ноды (сервер, где установлен пакет nwaf-dyn);
2.2.2.2 - сервер конечного веб-приложения (например, example.com), куда будут проксироваться легитимные запросы.

Файл конфигурации фильтрующей ноды для проксирования трафика в общем случае будет выглядеть так:
Bash: 
server {   
        server_name example.com;
        listen 80;

        location / {
                proxy_pass http://2.2.2.2;
        }
}



1.) Уточните пожалуйста, а где именно настраивается/прописывается, что запрос должен поступать сначала на 1.1.1.1
2.)Если сейчас конфиг nginx на котором крутится сайт (но ещё не подключен к waf) содержит намного больше директив(https, задержки и т.п), надо ли эти директивы переносить в конфиг настройки обратного прокси для waf, или просто достаточно проксировать легитимные запросы далее будут обрабатываться на nginx сайта в соответствии с директивами конфига ?
Click to expand...
1. Прописывается там же, где у вас задано, что при обращении на example.com запрос должен поступать на сервер веб-приложения. Если сервер с WAF и защищаемым веб-приложением находятся во внутренней сети и вы из этой же сети отправляете запросы для тестирования WAF, то можете прописать в /etc/hosts соответствие IP-адреса и доменного имени, чтобы при обращении на example.com запросы поступали на сервер WAF. Если ваше приложение доступно в Интернете, то можете внести изменения в A-запись в DNS, чтобы домену example.com соответсвовал адрес сервера WAF.
2. Если достаточно просто проксировать трафик на конечный сервер, то можно не переносить.
 
You must log in or register to reply here.
Back
Top