LINUX.ORG.RU
ФорумAdmin

А можно перед https proxy Континент TLS поставить nginx?

 


0

2

Сейчас все работает так: Континент TLS клиент шифрует трафик клиента и пробрасывает его на маршрутизатор, который без изменений переадресует запрос на Континент TLS сервер, после чего уже запрос попадает на целевой Web сервер (один маленький проектик).

Что плохо? Теряется целый 1 реальный IP, а я хотел бы повесить на него еще несколько сайтов, сильно большого трафика не предвидится.

Так вот, возьмем nginx, на него же сессия попадет в зашифрованном виде (фаервол роутера же не понимает, что передает и руководствуется простым принципом: все что оттуда – туда).

Как сделать чтобы nginx так же смог пробросить трафик, но при этом понял, что это запрос для конкретного домена?


server {
   listen *:443 ssl;
   server_name kontinent.mydomain.ru;
   location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $http_host;
        proxy_pass https://1.2.3.4/;
   }
}

server {
   listen *:443 ssl;
   server_name public.mydomain.ru;
   location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $http_host;
        proxy_pass http://1.2.3.5/;
   }
}

Можно такое сделать?


Ты адресом ошибся. Это ЛОР, а не техподдержка Кода безопасности/Трастверса

XMs ★★★★★ ()
Ответ на: комментарий от Shulman

Скорее, про взаимодействие Континента с nginx. А Континент — продукт специфический

XMs ★★★★★ ()

Так не будет работать.
Тебе нужен snioroxy. Он будет по заголовку tls sni роутить запросы, континент на 1 бэкенд, остальные на 2й.
Того же можно достичь и на haproxy.
Короче надо не терминирировать, а просто перенаправлять tls трафик.

Bers666 ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.