Introduction

Il n'est pas rare que des robots crawlent les sites internet sans utiliser d'User-Agent.
Si vous souhaitez les bannir de vos frontends HaProxy, voici comment faire.

Éditez votre fichier de configuration /etc/haproxy/haproxy.cfg

Ensuite selon vos envies: ajoutez une des deux règles suivantes.

• Si vous souhaitez renvoyer une erreur HTTP 403 Forbidden (accès interdis) quand l'user-agent est vide, ajoutez la règle HaProxy pour frontend suivante.

http-request deny if { hdr_cnt(user-agent) eq 0 }

• Si vous voulez bannir toute (…)

Introduction

Je pars du principe que vous avez déjà installez au moins un Frontend et un Backend et êtes donc capable de lire et traduire (avec l'aide des moteurs de recherche) les configurations d'HaProxy suivantes sans me forcer à entrer trop dans le détails.
Pour rappel HaProxy est un proxy permettant de répartir la charge réseau sur une ou plusieurs machines. Tor Hidden Service est quant à lui un mécanisme permettant de disposer d'un nom de domaine unique au monde (…)

Introduction

Cette méthode permet de renvoyer l'erreur http suivante lorsqu'un client utilise un User-Agent bannis :

403 Forbidden
Request forbidden by administrative rules.

Mise en place

1. Ajoutez dans le paragraphe traitant de votre frontend les lignes suivantes

    # security (ban)
tcp-request inspect-delay 5s
acl blockedagent hdr_sub(user-agent) -i -f /etc/haproxy/Blacklist_UserAgent.list
http-request deny if blockedagent
    # end security

• blockedagent => le nom arbitraire qu'on choisi pour notre règle

1. Créez le fichier /etc/haproxy/Blacklist_UserAgent.list et remplissez-le avec les morceaux d'users-agent que vous souhaitez bloquer (…)

Introduction

Pour des raisons d'efficacité et d'optimisation, il est déconseillé d'utiliser l'index.php ou status.php afin de faire les Health Check de HaProxy ou tout autre frontend.
Ici nous allons utiliser un script dédié dont le but est de tester "l'état de santé" des machines tout en consommant le moins de ressources possible.
Les variables permettant de configurer le script peuvent, et il est conseillé de le faire, être rangée directement dans le fichier config.php de nextcloud. Cette méthode vous (…)

Introduction

La page status.php sert aux applications nextcloud clientes de vérifier le status en ligne du serveur.
Cette page peut aussi être utilisé afin de forger des Google Dork permettant de trouver des installations de nextcloud potentiellement plus fragile face au piratage.
Topic sur le forum de la communauté nextcloud : https://help.nextcloud.com/t/how-to-censor-status-php-page/38040
Il est fortement déconseillé de bloquer l'accès à cette page au risque de casser les clients de Nextcloud.

Via HaProxy

Ajoutez les lignes suivantes dans voter Backend (conseillé) (…)

Introduction

Quand HaProxy fait une redirection, il n'y a pas de communication avec les serveurs derrière le backend. Tout est entièrement géré par le frontend.

Si le client requière via https, le certificat https doit être signé. S'il ne l'est pas le navigateur web va stopper et émettre une alerte de sécurité et ce avant d'avoir reçu le code http signalant la redirection. Pas très fun pour vos utilisateurs.

Exemple

Peut être inséré dans les section backend ou (…)