[vpsFree.cz: community-list] Nginx proxy, SSH
Jan B. Kolář
janbivoj.kolar at zazen-nudu.cz
Sat Jun 13 12:56:27 CEST 2020
Ahoj,
přes týden jsem se snažil nastudovat nasazení Nginx jako proxy a vrtá mi
hlavou několik věcí. Chtěl jsem proto poprosit o radu zkušenější, abych
něco "nezkonil" hned na začátku :-)
1) Spojení mezi proxy a backendem
V jiném vlákně tady proběhla diskuze ohledně "vnitřních" IP adres. Na KB
jsem se dočetl, že se o ně musí žádat a můžou se měnit. Mají pro spojení
mezi proxy a backendem vnitřní adresy nějaký význam, například z
hlediska bezpečnosti nebo rychlosti? Můj plán byl dělat spojení mezi
stroji pomocí přidělených IPv6 adres.
2) Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
jsem se chtěl zeptat, zda byste v našem prostředí považovali za
bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to
není overkill.
3) SSH tunel na proxy
Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na
127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port
forwardingu. V případě nasazení jako "proxy - backend" bych na proxy
opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na
proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení
přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?
Předem díky za pomoc!
Všechny zdraví
Honza
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar at zazen-nudu.cz
www.zazen-nudu.cz
More information about the Community-list
mailing list