Tôi đang cố gắng thiết lập proxy ngược bằng NGINX trên CentOS7 và ModSecurity để sử dụng giữa máy chủ Exchange và internet. Tôi sẽ thành thật nói rằng tôi không giỏi lắm với Linux, nhưng tôi đã học được cách làm một số thứ khá tốt và với 'cách thực hiện' tốt, tôi có thể khiến mọi thứ hoạt động. Đã làm rất nhiều điều đó. Như đã nói, tôi đã thiết lập NGINX Reverse Proxy, truyền lưu lượng SSL thẳng đến máy chủ Exchange và điều đó hoạt động rất tốt, mặc dù nó khá vô dụng trong cấu hình đó.
Suy nghĩ/mục tiêu đầu tiên của tôi là cài đặt ModSecurity trên đó và sử dụng bộ lọc GeoIP để chặn tất cả các IP bên ngoài quốc gia. Tôi biết, mọi người sẽ nói rằng điều đó không hiệu quả và tôi không thể hoàn toàn không đồng ý - nếu bạn đang cố gắng lọc Geo ở mức nhỏ hơn quốc gia, thông thường, các IP được đăng ký với Trụ sở chính của ISP, không phải khu vực người đăng ký , vì vậy việc cố gắng lọc xuống khu vực địa phương của bạn nhiều khả năng sẽ không hiệu quả. Sau đó, có những kẻ tấn công VPN có thể sử dụng để xuất hiện từ cùng một quốc gia - và bạn sẽ đúng. Nhưng nó vẫn sẽ hạn chế bề mặt tấn công.
Sau khi suy nghĩ kỹ hơn, tôi thực sự sẽ không phản đối việc SSL chấm dứt trên proxy và lưu lượng HTTP không được mã hóa đi đến máy chủ Exchange vì nó sẽ nằm trong mạng riêng, phía sau tường lửa, cho phép quét bảo mật tiềm năng hơn trên lưu lượng truy cập trong nước, nhưng đó là một chủ đề khác.
Tôi đã cố gắng để ModSecurity hoạt động bằng cách thực hiện một số 'cách thực hiện' khác nhau, nhưng cho đến nay, tôi không gặp may mắn khi làm cho nó hoạt động.Cái mà tôi có vẻ may mắn nhất là cái trên blog của NGINX, đã phải xử lý một số phụ thuộc bị thiếu khiến cho việc tạo hoặc cấu hình không thành công (có thể do sự khác biệt về phiên bản), nhưng nó dường như đã biên dịch và cài đặt cuối cùng sau khi tôi quản lý để xử lý các bit bị thiếu, nhưng khi tôi đưa vào cấu hình thử nghiệm của họ và thử kiểm tra nó thì... không.
Có ai có bất kỳ đề xuất hoặc biết về bất kỳ 'Hướng dẫn' hay nào gần đây áp dụng cho các bản phát hành NGINX và ModSecurity hiện tại mà tôi có thể thử không? Hoặc bất kỳ đề nghị khác?