Suivre

Faire tourner HTTPS et SSH sur le même port avec NGINX

Depuis la version 1.15.2, NGINX a ajouté une fonctionnalité qui permet de faire une distinction entre un flux HTTPS et un autre flux TCP arrivant sur un même port.

blog.karolak.fr/post/2019-02-0

· · Web · 1 · 3 · 3

@adminrezo Potentiellement, ça aurait un impact négatif sur quelque chose (sécurité, par ex.) ?

@meduz

Non, il fait du passthrough a priori : donc il lit les entêtes du paquet et s'il voit que ça ne correspond à rien, il holde et envoie derrière sur SSH directement en TCP.

Je me servais d'une astuce similaire en HAProxy : lire l'entête SNI et diriger le flux vers le bon serveur dorsal derrière. L'avantage, c'est que la terminaison TLS est réalisée sur la machine cible et non sur l'équilibreur de charge.

@meduz de mon point de vue c'est plutôt positif pour centraliser les accès réseaux et permettre d'outrepasser certains filtrages de pare-feux.

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !