- Accueil
- Forums
- Connectique Land
- NAS
- [NGINX] renforcement de la securité et exclusions.
[NGINX] renforcement de la securité et exclusions.
Comias @
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Posté le: 09 février 2024 à 12:49 
Bonjour a tous,
/!\ Ce post s'adresse au personne qui utilise NGINX /!\
Je suis actuellement entrain de mettre a jours, mon serveur. Et je me pose la question de savoir si il est possible d'autorisé les IP de certains pays a ce connecter de d'en refuser d'autres.
Car perso, j'en est marre des p'tit con qui s'amuse a attaquer ou a balancer 100000 requêtes en boucles. 🤬
Je m'explique:
J'aimerais autoriser uniquement les adresses IPv4 et IPv6 de ses pays a ce connecter a mes sites:
> France, Luxembourg, Allemagne, Suisse, Belgique, Monaco, Italie, Irlande, Andorre, Dom-Tom Français, Angleterre.
et également les bots de référencement.
Et refuser tout les autres, avec une redirection sur un autre site style Google.
Avec une mise en place directement au niveau du fichier nginx.conf, pour que cela soit pris pour l’ensemble des sites, et ne pas avoir a configurais chaque host.
Edit : Serveur auto-héberger
Ma version Nginx : 1.22.1
Debian 12
Si vous avez des pistes ou idées je suis preneur 😃
Merci
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
Dernière édition par Comias le 10 février 2024 à 10:37; édité 2 fois
/!\ Ce post s'adresse au personne qui utilise NGINX /!\
Je suis actuellement entrain de mettre a jours, mon serveur. Et je me pose la question de savoir si il est possible d'autorisé les IP de certains pays a ce connecter de d'en refuser d'autres.
Car perso, j'en est marre des p'tit con qui s'amuse a attaquer ou a balancer 100000 requêtes en boucles. 🤬
Je m'explique:
J'aimerais autoriser uniquement les adresses IPv4 et IPv6 de ses pays a ce connecter a mes sites:
> France, Luxembourg, Allemagne, Suisse, Belgique, Monaco, Italie, Irlande, Andorre, Dom-Tom Français, Angleterre.
et également les bots de référencement.
Et refuser tout les autres, avec une redirection sur un autre site style Google.
Avec une mise en place directement au niveau du fichier nginx.conf, pour que cela soit pris pour l’ensemble des sites, et ne pas avoir a configurais chaque host.
Edit : Serveur auto-héberger
Ma version Nginx : 1.22.1
Debian 12
Si vous avez des pistes ou idées je suis preneur 😃
Merci
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
Dernière édition par Comias le 10 février 2024 à 10:37; édité 2 fois
0 pour,0
Posté le: 09 février 2024 à 12:58
Salut,
Je pensais à GeoIP2
https://docs.nginx.com/nginx/admin-guide/dynamic-modules/geoip2/
A la fin de la page web il y a le lien suivant qui ressemble à ce que tu demandes
https://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-by-geoip/
Je pensais à GeoIP2
https://docs.nginx.com/nginx/admin-guide/dynamic-modules/geoip2/
A la fin de la page web il y a le lien suivant qui ressemble à ce que tu demandes
https://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-by-geoip/
0 pour,0
Posté le: 09 février 2024 à 13:10
Bonjour,
Plusieurs choses utiles:
- https://support.cpanel.net/hc/en-us/articles/4406663082519-What-is-cPHulk
- https://www.linuxbabe.com/security/modsecurity-nginx-debian-ubuntu
- https://developers.cloudflare.com/waf/
- https://help.ui.com/hc/en-us/articles/115006615247-Intro-to-Networking-Network-Firewall-Security
A voir selon ton besoin, pour bloquer des pays je le ferai direct sous Cloudflare sans aller toucher les fichiers de conf. J'utilise essentiellement Apache, mais la plupart des systèmes de pare-feu applicatifs fonctionnent quel que soit le serveur web. Sur un serveur il n'y a pas que les ports 80 et 443 à protéger. Tu as des sites en ligne, tu te fais attaquer, c'est inévitable, un CDN peut à la fois te protéger et faire baisser ta consommation de bande passante et de ressources serveur, donc la consommation électrique = sécurité + économies.
Plusieurs choses utiles:
- https://support.cpanel.net/hc/en-us/articles/4406663082519-What-is-cPHulk
- https://www.linuxbabe.com/security/modsecurity-nginx-debian-ubuntu
- https://developers.cloudflare.com/waf/
- https://help.ui.com/hc/en-us/articles/115006615247-Intro-to-Networking-Network-Firewall-Security
A voir selon ton besoin, pour bloquer des pays je le ferai direct sous Cloudflare sans aller toucher les fichiers de conf. J'utilise essentiellement Apache, mais la plupart des systèmes de pare-feu applicatifs fonctionnent quel que soit le serveur web. Sur un serveur il n'y a pas que les ports 80 et 443 à protéger. Tu as des sites en ligne, tu te fais attaquer, c'est inévitable, un CDN peut à la fois te protéger et faire baisser ta consommation de bande passante et de ressources serveur, donc la consommation électrique = sécurité + économies.
0 pour,0
Dragonet @
Ouvrier agricole
489pts
Inscrit le: 11 janvier 2014
Age: 33
Messages: 257
Navigateur : n.c.
Hors ligne
Ouvrier agricole
489pts
Inscrit le: 11 janvier 2014
Age: 33
Messages: 257
Navigateur : n.c.
Hors ligne
Posté le: 09 février 2024 à 13:43
Le blocage par pays n'est pas infaillible je présume (même si c'est un début) ?
Si les attaquants passe par un vpn sa ce passe comment ?
En tout cas le sujet m'intéresse, 😋
Si les attaquants passe par un vpn sa ce passe comment ?
En tout cas le sujet m'intéresse, 😋
0 pour,0
Comias @
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Posté le: 09 février 2024 à 13:45
Merci @PaliPalo et @OMGimag33k pour vos retours.
J'ai déjà compilé les modules Geoip/Geoip2, ModSecurity WAF dans Nginx.
mais je ne trouve rien sur la manières de renvoyé les roquettes sur une autre adresse. et de limités les IPs qui peuvent accédé au serveur.
Pour Cpanel je ne l'utilise pas.
En ce qui concerne Cloudflare, je l'es testé.
Mais je perdais bcp en rapidité et transfert sur les hosts que j'héberge.
Pour le pas perdre en perf et transfert, je devais payé.
Et cela est hors de question!
Pour ce qui est du fichier .conf de Nginx cela ne me dérange aucunement de mettre les mains dedans!
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
J'ai déjà compilé les modules Geoip/Geoip2, ModSecurity WAF dans Nginx.
mais je ne trouve rien sur la manières de renvoyé les roquettes sur une autre adresse. et de limités les IPs qui peuvent accédé au serveur.
Pour Cpanel je ne l'utilise pas.
En ce qui concerne Cloudflare, je l'es testé.
Mais je perdais bcp en rapidité et transfert sur les hosts que j'héberge.
Pour le pas perdre en perf et transfert, je devais payé.
Et cela est hors de question!
Pour ce qui est du fichier .conf de Nginx cela ne me dérange aucunement de mettre les mains dedans!
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
0 pour,0
Posté le: 09 février 2024 à 14:45
je ne l'ai jamais fait pour Nginx (juste sur un appareil de sécurité réseau et via une interface graphique 
) Donc c'est juste ce que tenterai si j'étais à ta place
Mais, de ce que je comprends, il faut dans ton nginx.conf
Dans le bloc "http", ajouter de quoi charger les bases de données de GeoIP et de pouvoir les utiliser plus loin.
Dans le bloc "server" tu dois écrire une table de correspondance entre le code du pays dans GeoIP et le fait que celui-ci soit autorisé (si ta liste de pays autorisée est réduite) ou non (si la liste des pays interdits est réduite)
Dans le même bloc "server", il faut que tu compares la valeur retournée par cette table de correspondance avec "yes" ou "no" (ces deux valeurs dépendent de ce que tu as mis dans la table de correspondance). Dans le cas d'une liste d'autorisés, si c'est "no" alors tu rediriges le flux vers un site particulier via une commande "proxy_pass"; dans le cas d'une liste d'interdits, la condition devra être "yes" pour faire la redirection via "proxy_pass"
Regarde ici pour exemple (la partie "Advanced usage"):
https://www.slingacademy.com/article/nginx-geoip-the-complete-guide/
) Donc c'est juste ce que tenterai si j'étais à ta place
Mais, de ce que je comprends, il faut dans ton nginx.conf
Dans le bloc "http", ajouter de quoi charger les bases de données de GeoIP et de pouvoir les utiliser plus loin.
Dans le bloc "server" tu dois écrire une table de correspondance entre le code du pays dans GeoIP et le fait que celui-ci soit autorisé (si ta liste de pays autorisée est réduite) ou non (si la liste des pays interdits est réduite)
Dans le même bloc "server", il faut que tu compares la valeur retournée par cette table de correspondance avec "yes" ou "no" (ces deux valeurs dépendent de ce que tu as mis dans la table de correspondance). Dans le cas d'une liste d'autorisés, si c'est "no" alors tu rediriges le flux vers un site particulier via une commande "proxy_pass"; dans le cas d'une liste d'interdits, la condition devra être "yes" pour faire la redirection via "proxy_pass"
Regarde ici pour exemple (la partie "Advanced usage"):
https://www.slingacademy.com/article/nginx-geoip-the-complete-guide/
| Code: |
0 pour,0
Posté le: 09 février 2024 à 14:59
Tu peux utiliser fail2ban avec geoip, et des règles iptables si tu veux faire du redirect. Mais pour les pays non autorisés le plus simple reste de drop les requêtes, pour ne pas consommer de ressource serveur inutilement.
0 pour,0
Comias @
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Posté le: 10 février 2024 à 12:44
Le problème avec fail2ban, c'est qu'il ban après coup et non avent!
Moi se que je cherche c'est une solution pour les bloquer direct les Ipv4 et Ipv6, et sans passé par un opérateur extérieur.
Le truc encore mieux sera non pas de bloquer par pays ou plage Ip mais directement via les ASN (AS Number).
Mais je trouve rien, c'est pour cela que je me tourne vers le forum, dans l'espoir de trouver un membre qui a oser mettre les mains dans les lignes de Nginx (entre autres), sans passer par des interfaces et/ou par des système externe a son réseau.
@PaliPalo je cherche plus simple que de tapé "yes" ou "no" pour chaque pays, car sa fait des lignes et des lignes!
Et le problème avec ce type de paramètre c'est que cela bloque également les bots de référencement, et ses bots là j'aimerais bien les garder!
@Dragonet effectivement c'est pas infaillible, mais il existe des solutions pour bloquer les VPN et nœud Tor.
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
Moi se que je cherche c'est une solution pour les bloquer direct les Ipv4 et Ipv6, et sans passé par un opérateur extérieur.
Le truc encore mieux sera non pas de bloquer par pays ou plage Ip mais directement via les ASN (AS Number).
Mais je trouve rien, c'est pour cela que je me tourne vers le forum, dans l'espoir de trouver un membre qui a oser mettre les mains dans les lignes de Nginx (entre autres), sans passer par des interfaces et/ou par des système externe a son réseau.
@PaliPalo je cherche plus simple que de tapé "yes" ou "no" pour chaque pays, car sa fait des lignes et des lignes!
| Code: |
| # GeoIP databases
geoip_country /usr/share/GeoIP/GeoIP.dat; map $geoip_country_code $allowed_country { default no; FR yes; IT yes; GB Yes; ES no; US no; } |
Et le problème avec ce type de paramètre c'est que cela bloque également les bots de référencement, et ses bots là j'aimerais bien les garder!
@Dragonet effectivement c'est pas infaillible, mais il existe des solutions pour bloquer les VPN et nœud Tor.
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
0 pour,0
Posté le: 11 février 2024 à 10:41
Ce n'es pas mon sujet de prédilection mais j'avais aussi croisé une solution avec Geoip pour Nginx.
En faisant une petite recherche :
https://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-by-geoip/
Et pour s'en passer :
https://www.gypthecat.com/blocking-countries-on-nginx-without-the-geoip-module
Tu peux mettre une paramètre pour passer la région/pays ça me parait donc assez simple pour le "blocage de masse".
Pour les bots de référencements, comment tu les identifies ?
En faisant une petite recherche :
https://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-by-geoip/
Et pour s'en passer :
https://www.gypthecat.com/blocking-countries-on-nginx-without-the-geoip-module
Tu peux mettre une paramètre pour passer la région/pays ça me parait donc assez simple pour le "blocage de masse".
Pour les bots de référencements, comment tu les identifies ?
Si j'avance, suivez-moiSi je meurs, vengez-moiSi je recule, tuez-moi
0 pour,0
Comias @
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Céréalier
7546pts
Inscrit le: 04 décembre 2011
Age: 38
Messages: 2243
Localisation: Nancy
Navigateur :
En ligne
Posté le: 11 février 2024 à 15:12
Bon après plusieurs recherches, je pense que je vais me tourner vers une solution Pare-feu Micro Appliance, en plus de WAF-F5 (qui est déjà sur mon serveur), fail2ban.
Avec IpFre ou Opnsense, ou pfsense autres a voir.
Reste a savoir, si je prend un système uniquement en 2.5Gb, ou avec 2 port SPF+, car j'ai quand même dans l'optique de faire évolué mon serveur, et pouvoir garder ma carte SPF+ sur mon PC fixe.
et également si je colle tout le monde derrière le PFMA, ou non.
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
Avec IpFre ou Opnsense, ou pfsense autres a voir.
Reste a savoir, si je prend un système uniquement en 2.5Gb, ou avec 2 port SPF+, car j'ai quand même dans l'optique de faire évolué mon serveur, et pouvoir garder ma carte SPF+ sur mon PC fixe.
et également si je colle tout le monde derrière le PFMA, ou non.
Mes Photos: https://www.nico-robin.fr/
https://www.instagram.com/nico_r0bin
0 pour,0
Posté le: 19 février 2024 à 16:40
Salut,
As-tu deja fais tes changements ?
Je faisais des tests ce WE chez moi et je me suis rappelé ton post.
Moi je n'utilise pas NGinx mais des serveurs web apache derrière un PFsense avec HA-Proxy.
Ce WE j'ai mis en place un peux plus de sécurité aussi et j'ai testé ca :
https://www.it-connect.fr/tuto-installation-crowdsec-pare-feu-pfsense/
Ca a l'air de vraiment bien marcher mais j'ai peux de retour à te faire pour le moment.
As-tu deja fais tes changements ?
Je faisais des tests ce WE chez moi et je me suis rappelé ton post.
Moi je n'utilise pas NGinx mais des serveurs web apache derrière un PFsense avec HA-Proxy.
Ce WE j'ai mis en place un peux plus de sécurité aussi et j'ai testé ca :
https://www.it-connect.fr/tuto-installation-crowdsec-pare-feu-pfsense/
Ca a l'air de vraiment bien marcher mais j'ai peux de retour à te faire pour le moment.
0 pour,0
- Accueil
- Forums
- Connectique Land
- NAS
- [NGINX] renforcement de la securité et exclusions.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Sujets similaires |
|||||
| Sujet | Auteur | Forum | Réponses | Posté le | |
|---|---|---|---|---|---|
 |
Caméra de sécurité | sebkenny | Divers Hardware | 3 | 07 octobre 2021 à 18:22 |
 |
probleme securité boot uefi non prise en charge pour windows | roro92330 | CPU, Cartes mères, RAM | 51 | 04 juillet 2021 à 12:05 |
|
Live stream Twitch dédié à la Cyber Sécurité | Dysnome | Chaînes Youtube | 30 | 03 mars 2021 à 14:02 |
|
Episode 3 : On installe un labo de cyber sécurité (partie 1) | Dysnome | OsLand | 9 | 06 décembre 2020 à 13:25 |
|
[Sondage] Topics sur la sécurité | Dysnome | Le poulailler | 28 | 30 octobre 2020 à 23:38 |
- 11:42 DERNIER jour pour gagner une RTX 4080 SUPER AMP EXTREME AIRO avec ZOTAC, NVIDIA et Cowcotland
- 11:38 Les prix des processeurs AMD et Intel semaine 17-2024 : Grosso Modo, pas de révolution
- 10:10 Le récap' des articles fermiers, semaine 17-2024
- 27/04 Les vidéos Hardware semaine 17-2024 : Edition spéciale CCL 20 ans la suite
- 27/04 Les prix des cartes graphiques AMD, Intel et NVIDIA semaine 17-2024 :
- 27/04 La Radeon RX 7900 XTX, le haut de gamme AMD, affichée à 940 euros, son prix le plus bas
- 27/04 Mod : encore une SONY PlayStation 5 watercoolée
- 26/04 Un mod Path Tracing pour le jeu Dragon's Dogma 2
- 26/04 Une nouvelle mise à jour pour le jeu Dragon's Dogma 2
- 26/04 Paris Games Week 2024, les dates sont connues !
[EST] Pc complet R7 3700x, GTX1070Ti Evga, 16 Go DDR4 3200 [ Estimations ]
iYo13 il y a 4 heures.- RTX 3080 vs 4070 Ti avec un R5 5600X ? [ Cartes Graphiques ]
iYo13 il y a 4 heures. 
[PROBLEME] - Internet bugue sur mon pc fixe [ Le poulailler ]
Dwarfcherry il y a 4 heures.
Insatisfaction du jour 2024 [ Le poulailler ]
Sapinsympa il y a 8 heures.
Satisfaction du jour 2024 [ Le poulailler ]
Dragonet il y a 11 heures.
Recherche écran 144hz va ou ips d'occase [ Achats/Recherches ]
FouloudGlioziol il y a 13 heures.
Perte débit watercooling [ Watercooling ]
divinours il y a 2 jours.
[Workblog] Funky et la PAO [ Graphisme ]
funkydata il y a 2 jours.
[ECH] Des trucs contre du lga1700 (voir de l'am4) [ Achats/Recherches ]
Yuzen il y a 2 jours.
NEED: le topic des acheteurs compulsifs 2024 [ Le poulailler ]
loukass il y a 2 jours.- Tous les forums