[solved] Suche simplen Reverse-Proxy mit HTTP<->HTTPS

[ingo2]

Ich habe hier eine Webcam die nur einen HTTP-Web-Server hat und auch fleißig nach Hause telefonieren möchte.
Im Moment habe ich die hinter einen Reverse-Proxy mit Apache2 und dem Modul libapache2-mod-proxy-html hängen.
Das klappt ganz gut und erlaubt auch von extern nur Zugriff über HTTPS. Außerdem sperrt das jegliche Kommunikation der Webcam nach extern.

Ich finde aber, daß das ein gewaltiger Aufwand ist und der Apache dafür völlig überdimensioniert ist ()mit Kanonen auf Spatzen ..). Gibt es da nicht eine simple Lösung/Software - das würde das Ganze dann auch sicherer machen.

Habe mir schon mal die Doku von TinyProxy angeschaut, der beherrscht offenbar nicht die HTTP-HTTPS-Umsetzung, oder?

Wie gesagt, es soll nur 1 Port nach außen durch den Proxy weitergeleitet/umgesetzt werden, der dann auch gleich HTTP<->HTTPS macht. Was wäre da empfehlenswert, der Proxy läuft auf einem keinen embedded NAS mit Debian.

Gruß,
Ingo

[sbruder]

traefik?
nginx? (ist schon umfangereicher, aber kann auch simples proxien ohne Probleme)

Musst aber auch schauen, dass die Webcam nicht absolute URLs (also http​://interne-IP-Adresse/?config=fuba) benutzt (die kann er von außen logischerweise nicht erreichen), sondern relative (/?config=fuba).

[BenutzerGa4gooPh]

squid ?

Häufig wird Squid auch als Reverse Proxy zum Schutz und zur Beschleunigung von Webservern eingesetzt. Ab Version 2.6 läuft Squid auch als HTTPS-Proxy. Damit wird die SSL-Verschlüsselung vom Webserver auf den Proxy verlagert.

https://de.m.wikipedia.org/wiki/Squid

Mit Hilfe des Squid kann genau definiert werden, was an den Webserver übertragen werden soll und was nicht (z. B. mit dem Parameter forwarded_for).
...
So kann z. B. genau definiert werden, welche Seiten aus dem Internet, welche von einem anderen Proxy und welche direkt aus dem lokalen Netz geholt werden sollen.

http://www.selflinux.org/selflinux/html ... l#d102e136

[Cae]

Squid ist eher nicht das, was ich mir unter "klein, simpel, fuer embedded gut" vorstelle. nginx kann das, insbesondere kannst du auch das gewuenschte "HTTP und HTTPS auf selbem Port" abbilden, du muss nur HTTP 497 besonders behandeln (Nginx-interne Eigenheit, NGX_HTTP_TO_HTTPS). Ansonsten haette ich haproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.

Gruss Cae

[ingo2]

Ansonsten haette ich haproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.

Ja, Squid ist wirklich das, was ich nicht wollte und Tinyproxy kann garnicht mit HTTPS umgehen.
Aber wie soll ich deinen Satz mit "nur HTTPS davor schalten" verstehen?
Extern möchte ich nur per HTTPS kommunizieren. Intern kann die Webcam aber nur HTTP. Kann deb]haproxy[/deb] denn nach extern ein Zertifikat präsentieren und die Verbindung terminieren, so daß ich intern unverschlüsselt arbeiten kannb - das würde reichen?

Gruß,
Ingo

[Cae]

Ansonsten haette ich haproxy empfohlen, der ist super, wenn man "nur HTTPS davor schalten" will.

Aber wie soll ich deinen Satz mit "nur HTTPS davor schalten" verstehen?
Extern möchte ich nur per HTTPS kommunizieren. Intern kann die Webcam aber nur HTTP. Kann deb]haproxy[/deb] denn nach extern ein Zertifikat präsentieren und die Verbindung terminieren, so daß ich intern unverschlüsselt arbeiten kannb - das würde reichen?

Ja, genau das meinte ich. Die (haproxy-)Config dazu sieht so aus:

Code: Alles auswählen

frontend proxy-http
        bind *:443 ssl crt /etc/haproxy/ssl/selfsigned-bundle.pem
        option httplog
        use_backend backend-http

backend backend-http
        server backend-http 192.0.2.42:80

option httplog ist zum Debuggen hilfreich (er loggt alle Requests), kann spaeter aber rausgenommen werden. Falls es so nicht tut, kontrolliere, ob du im defaults-Abschnitt auch mode http stehen hast.

Gruss Cae

[ingo2]

Hey, super Cae!

Und vielen Dank - haproxy läuft schon, SSL/TLS klappt einwandfrei ebenso die Portumsetzung!

Genau das was ich gebraucht habe, auch wenn der "Load-Balancer" auf meinem SoC keine zig-Tausend Verbindungen zu managen hat

Ich markiere den Thread damit als gelöst, DANKE!

Bin übrigens dabei, meine Dienste von dem Uralt-NAS (Qnap TS-109 mit Marvell-Orion) auf meine Neuerwerbung, ein PCEngines APU.2C4 zu übertragen und dabei gleich auszumisten. BTW, falls Jana66 hier noch mitliest: mit dem aktuellen BIOS vom März 2017 ist ECC freigeschaltet und Stretch hat bei der Installation gleich die EDAC-Module dafür geladen.
Ein tolles Teil!

Gruß Ingo

[uname]

F'alls du sowieso einen von außen erreichbaren Webserver anbietest, kannst du vielleicht auch über z.B. diesen PHP Webproxy https://github.com/joshdick/miniProxy (eine PHP-Datei) in Verbindung mit php-curl (Stretch), php5-curl (Jessie) verwenden. Das Programm bietet scheinbar auch die Möglichkeit die Zieladressen einzuschränken.

[BenutzerGa4gooPh]

Bin übrigens dabei, meine Dienste von dem Uralt-NAS (Qnap TS-109 mit Marvell-Orion) auf meine Neuerwerbung, ein PCEngines APU.2C4 zu übertragen und dabei gleich auszumisten. BTW, falls Jana66 hier noch mitliest: mit dem aktuellen BIOS vom März 2017 ist ECC freigeschaltet und Stretch hat bei der Installation gleich die EDAC-Module dafür geladen.
Ein tolles Teil!

Habe mitgelesen und danke für die Info! Das mit dem ECC-BIOS wurde ja langsam Zeit.
Mit PFSense auf dem APU2C4 wäre Squid als Zusatzpaket mit entsprechender Integration möglich. Aber offensichtlich nutzt du die Unit nur als NAS mit Debian? Firewall und NAS passen sicherheitstechnisch auch nicht zusammen.