Я пытаюсь настроить обратный прокси-сервер с помощью NGINX на CentOS7 и ModSecurity для использования между сервером Exchange и Интернетом. Я буду честен и скажу, что я не очень хорошо разбираюсь в Linux, но я научился делать некоторые вещи довольно хорошо, и с хорошими практическими рекомендациями я могу заставить все работать. Сделано много этого. При этом у меня настроен обратный прокси-сервер NGINX, передающий SSL-трафик прямо на сервер Exchange, и он отлично работает, хотя в такой конфигурации он довольно бесполезен.
Моя первая мысль/цель — установить на него ModSecurity и использовать фильтрацию GeoIP для блокировки всех IP-адресов за пределами страны. Я знаю, люди скажут, что это не работает, и я не могу полностью не согласиться — если вы пытаетесь отфильтровать географические данные на более низком уровне, чем страна, ну, обычно IP-адреса регистрируются в штаб-квартире интернет-провайдера, а не в зоне подписчиков. , поэтому попытка отфильтровать данные по вашему региону, скорее всего, не сработает. Кроме того, злоумышленники могут использовать VPN, чтобы они выглядели так, будто они из той же страны, и вы будете правы. Но это все равно ограничило бы поверхность атаки.
Подумав еще немного, я бы не стал возражать против того, чтобы SSL заканчивался на прокси-сервере, а незашифрованный HTTP-трафик направлялся на сервер Exchange, поскольку он находился бы внутри частной сети, за брандмауэром, что позволяло бы проводить более потенциальное сканирование безопасности на входящий трафик, но это уже другая тема.
Я пытался заставить ModSecurity работать, изучив несколько различных «инструкций», но до сих пор мне не удавалось заставить его работать.Тот, с которым мне, похоже, повезло больше всего, был в блоге NGINX, мне пришлось работать с несколькими отсутствующими зависимостями, что приводило к сбою make или configure (возможно, из-за различий в версиях), но, похоже, он компилировался и установить в конце после того, как мне удалось проработать недостающие биты, но когда я вставил их тестовую конфигурацию и попытался проверить ее... нет.
Есть ли у кого-нибудь какие-либо предложения или кто-нибудь знает какие-либо хорошие недавние «инструкции», применимые к текущим выпускам NGINX и ModSecurity, которые я мог бы попробовать? Или любые другие предложения?