L’article explique comment l’auteur a remplacé Apache par Traefik comme reverse proxy, principalement pour intégrer Crowdsec (notamment son module AppSec, compatible uniquement avec Nginx, OpenResty ou Traefik) et bloquer efficacement les scans malveillants (comme les requêtes vers .env ou X11). Traefik centralise le routage, simplifie la gestion des certificats Let’s Encrypt, et permet d’appliquer des middlewares de sécurité (HSTS, CSP, rate limiting, etc.). L’installation se fait en binaire (hors Docker), avec une configuration modulaire (fichiers YAML pour les sites, middlewares, et le dashboard). L’intégration de Crowdsec se fait via un bouncer Traefik et le module AppSec, qui analyse les requêtes en temps réel et bannit les IP suspectes (ex : accès à .env). Malgré quelques péripéties (notamment avec les versions de Crowdsec et des conseils erronés de ChatGPT), le résultat est un système sécurisé, évolutif, et facile à surveiller via les logs et métriques. L’auteur souligne la satisfaction d’avoir un WAF performant et open source, tout en partageant ses fichiers de configuration et astuces pour reproduire la solution.

Forward Proxy vs Reverse Proxy : Le forward proxy agit comme un intermédiaire entre le client et internet, filtrant les requêtes (ex : contrôle d’accès, cache, anonymat) et nécessitant une configuration côté client, tandis que le reverse proxy se place entre internet et le serveur, protégeant ce dernier (ex : équilibrage de charge, sécurité, TLS termination, cache) et masquant son adresse IP. Le premier est utile pour gérer les requêtes sortantes (ex : réseaux d’entreprise), le second pour optimiser et sécuriser les requêtes entrantes (ex : sites web à fort trafic). En résumé, le forward proxy sert le client, le reverse proxy sert le serveur.

Le tutoriel présente BunkerWeb, une solution open-source combinant reverse proxy et Web Application Firewall (WAF) pour sécuriser les services web. Elle intègre des fonctionnalités comme le filtrage ModSecurity avec les règles OWASP CRS, le renforcement TLS, et la limitation de requêtes. Le tutoriel guide à travers le déploiement de BunkerWeb via Docker Compose, depuis la préparation de l'environnement jusqu'à la configuration d'un service web. Il explique comment créer un fichier compose.yaml, lancer les conteneurs, et configurer BunkerWeb via une interface web d'administration. Le tutoriel montre également comment déployer un service web interne, comme IT-Tools, derrière BunkerWeb, en détaillant les étapes de configuration pour sécuriser et publier le service. Enfin, il conclut en soulignant la facilité d'utilisation et les options avancées de BunkerWeb pour renforcer la sécurité des applications web.

L'auteur relate son passage à un serveur conteneurisé utilisant FreeBSD après avoir testé sans succès plusieurs solutions de virtualisation et de conteneurisation comme Proxmox VE, Docker et LXC. Il a découvert Bastille, un outil de gestion des jails FreeBSD, qui lui a permis de créer des environnements isolés pour ses applications web. L'article décrit la mise en place d'un serveur PostgreSQL, d'un reverse-proxy avec Nginx, et d'une instance Pleroma pour le Fédiverse, le tout sécurisé par un pare-feu PF. Cette solution lui a offert un bon compromis entre performance, simplicité et sécurité pour son usage personnel.

Apache, suite à une mise à jour, est plus strict sur les vérifications SSL. Ça a eu un impact sur les serveurs Plesk qui utilisent nginx en tant que proxy. Voici la commande à exécuter en tant que root

echo -e "proxy_ssl_server_name on;\nproxy_ssl_name \$host;" > /etc/nginx/conf.d/fixssl.conf && service nginx restart

Pangolin est un serveur proxy inverse maillé et tunnelisé qui offre un contrôle d'identité et d'accès ainsi qu'une interface utilisateur de tableau de bord. Il permet de connecter plusieurs sites à un serveur central de manière sécurisée via WireGuard, facilitant ainsi l'exposition des ressources HTTP et HTTPS sur un réseau privé sans complexité réseau. Pangolin est conçu pour être une alternative auto-hébergée aux tunnels Cloudflare, offrant une solution sécurisée pour exposer des applications métiers derrière un portail d'authentification intégré à votre solution IdP. Ce projet est open source et dual licencé sous AGPL-3 et la licence commerciale Fossorial, ce qui permet une utilisation flexible pour les particuliers et les entreprises.

L'article présente Anubis, une solution élégante pour contrer les bots qui parcourent le web et surchargent les sites en récupérant des données pour l'entraînement des IA. Anubis fonctionne comme un reverse proxy, utilisant JavaScript pour imposer une preuve de travail aux visiteurs, bloquant ainsi efficacement les bots qui ne gèrent pas JavaScript ou qui sont détectés comme tels. Cette méthode permet de protéger les sites web contre la surconsommation de ressources et est déjà adoptée par plusieurs grandes organisations. L'auteur a implémenté Anubis pour protéger son instance publique de SearXNG, réduisant ainsi la charge CPU et le trafic réseau causés par les bots
.

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

L'auteur montre l'utilisation de nginx comme reverse proxy pour des sites web containerisés

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre