[solved] Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
ingo2
Beiträge: 629
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

[solved] Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von ingo2 » 10.09.2017 12:13:42

Ich habe hier eine Webcam die nur einen HTTP-Web-Server hat und auch fleißig nach Hause telefonieren möchte.
Im Moment habe ich die hinter einen Reverse-Proxy mit Apache2 und dem Modul libapache2-mod-proxy-html hängen.
Das klappt ganz gut und erlaubt auch von extern nur Zugriff über HTTPS. Außerdem sperrt das jegliche Kommunikation der Webcam nach extern.

Ich finde aber, daß das ein gewaltiger Aufwand ist und der Apache dafür völlig überdimensioniert ist ()mit Kanonen auf Spatzen ..). Gibt es da nicht eine simple Lösung/Software - das würde das Ganze dann auch sicherer machen.

Habe mir schon mal die Doku von TinyProxy angeschaut, der beherrscht offenbar nicht die HTTP-HTTPS-Umsetzung, oder?

Wie gesagt, es soll nur 1 Port nach außen durch den Proxy weitergeleitet/umgesetzt werden, der dann auch gleich HTTP<->HTTPS macht. Was wäre da empfehlenswert, der Proxy läuft auf einem keinen embedded NAS mit Debian.

Gruß,
Ingo
Zuletzt geändert von ingo2 am 10.09.2017 21:43:48, insgesamt 1-mal geändert.

Benutzeravatar
sbruder
Beiträge: 333
Registriert: 24.06.2016 13:54:36
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Franken

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von sbruder » 10.09.2017 14:31:48

traefik?
Debiannginx? (ist schon umfangereicher, aber kann auch simples proxien ohne Probleme)

Musst aber auch schauen, dass die Webcam nicht absolute URLs (also http​://interne-IP-Adresse/?config=fuba) benutzt (die kann er von außen logischerweise nicht erreichen), sondern relative (/?config=fuba).

Jana66
Beiträge: 3900
Registriert: 03.02.2016 12:41:11

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von Jana66 » 10.09.2017 16:16:14

Debiansquid ?
Häufig wird Squid auch als Reverse Proxy zum Schutz und zur Beschleunigung von Webservern eingesetzt. Ab Version 2.6 läuft Squid auch als HTTPS-Proxy. Damit wird die SSL-Verschlüsselung vom Webserver auf den Proxy verlagert.
https://de.m.wikipedia.org/wiki/Squid
Mit Hilfe des Squid kann genau definiert werden, was an den Webserver übertragen werden soll und was nicht (z. B. mit dem Parameter forwarded_for).
...
So kann z. B. genau definiert werden, welche Seiten aus dem Internet, welche von einem anderen Proxy und welche direkt aus dem lokalen Netz geholt werden sollen.
http://www.selflinux.org/selflinux/html ... l#d102e136
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von Cae » 10.09.2017 17:26:45

Squid ist eher nicht das, was ich mir unter "klein, simpel, fuer embedded gut" vorstelle. Debiannginx kann das, insbesondere kannst du auch das gewuenschte "HTTP und HTTPS auf selbem Port" abbilden, du muss nur HTTP 497 besonders behandeln (Nginx-interne Eigenheit, NGX_HTTP_TO_HTTPS). Ansonsten haette ich Debianhaproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
ingo2
Beiträge: 629
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von ingo2 » 10.09.2017 17:57:39

Cae hat geschrieben: ↑ zum Beitrag ↑
10.09.2017 17:26:45
Ansonsten haette ich Debianhaproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.
Ja, Squid ist wirklich das, was ich nicht wollte und Tinyproxy kann garnicht mit HTTPS umgehen.
Aber wie soll ich deinen Satz mit "nur HTTPS davor schalten" verstehen?
Extern möchte ich nur per HTTPS kommunizieren. Intern kann die Webcam aber nur HTTP. Kann deb]haproxy[/deb] denn nach extern ein Zertifikat präsentieren und die Verbindung terminieren, so daß ich intern unverschlüsselt arbeiten kannb - das würde reichen?

Gruß,
Ingo

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von Cae » 10.09.2017 18:10:05

ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2017 17:57:39
Cae hat geschrieben: ↑ zum Beitrag ↑
10.09.2017 17:26:45
Ansonsten haette ich Debianhaproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.
Aber wie soll ich deinen Satz mit "nur HTTPS davor schalten" verstehen?
Extern möchte ich nur per HTTPS kommunizieren. Intern kann die Webcam aber nur HTTP. Kann deb]haproxy[/deb] denn nach extern ein Zertifikat präsentieren und die Verbindung terminieren, so daß ich intern unverschlüsselt arbeiten kannb - das würde reichen?
Ja, genau das meinte ich. Die (haproxy-)Config dazu sieht so aus:

Code: Alles auswählen

frontend proxy-http
        bind *:443 ssl crt /etc/haproxy/ssl/selfsigned-bundle.pem
        option httplog
        use_backend backend-http

backend backend-http
        server backend-http 192.0.2.42:80
option httplog ist zum Debuggen hilfreich (er loggt alle Requests), kann spaeter aber rausgenommen werden. Falls es so nicht tut, kontrolliere, ob du im defaults-Abschnitt auch mode http stehen hast.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
ingo2
Beiträge: 629
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von ingo2 » 10.09.2017 21:43:20

Hey, super Cae!

Und vielen Dank - haproxy läuft schon, SSL/TLS klappt einwandfrei ebenso die Portumsetzung!

Genau das was ich gebraucht habe, auch wenn der "Load-Balancer" auf meinem SoC keine zig-Tausend Verbindungen zu managen hat ;-)

Ich markiere den Thread damit als gelöst, DANKE!

Bin übrigens dabei, meine Dienste von dem Uralt-NAS (Qnap TS-109 mit Marvell-Orion) auf meine Neuerwerbung, ein PCEngines APU.2C4 zu übertragen und dabei gleich auszumisten. BTW, falls Jana66 hier noch mitliest: mit dem aktuellen BIOS vom März 2017 ist ECC freigeschaltet und Stretch hat bei der Installation gleich die EDAC-Module dafür geladen.
Ein tolles Teil!

Gruß Ingo

uname
Beiträge: 9461
Registriert: 03.06.2008 09:33:02

Re: [solved] Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von uname » 11.09.2017 08:58:54

F'alls du sowieso einen von außen erreichbaren Webserver anbietest, kannst du vielleicht auch über z.B. diesen PHP Webproxy https://github.com/joshdick/miniProxy (eine PHP-Datei) in Verbindung mit Debianphp-curl (Stretch), Debianphp5-curl (Jessie) verwenden. Das Programm bietet scheinbar auch die Möglichkeit die Zieladressen einzuschränken.

Jana66
Beiträge: 3900
Registriert: 03.02.2016 12:41:11

Re: [solved] Suche simplen Reverse-Proxy mit HTTP<->HTTPS

Beitrag von Jana66 » 11.09.2017 09:15:26

ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2017 21:43:20
Bin übrigens dabei, meine Dienste von dem Uralt-NAS (Qnap TS-109 mit Marvell-Orion) auf meine Neuerwerbung, ein PCEngines APU.2C4 zu übertragen und dabei gleich auszumisten. BTW, falls Jana66 hier noch mitliest: mit dem aktuellen BIOS vom März 2017 ist ECC freigeschaltet und Stretch hat bei der Installation gleich die EDAC-Module dafür geladen.
Ein tolles Teil!
Habe mitgelesen und danke für die Info! Das mit dem ECC-BIOS wurde ja langsam Zeit.
Mit PFSense auf dem APU2C4 wäre Squid als Zusatzpaket mit entsprechender Integration möglich. Aber offensichtlich nutzt du die Unit nur als NAS mit Debian? Firewall und NAS passen sicherheitstechnisch auch nicht zusammen.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Antworten