add HAProxy configuration
authorMathias Schuepany <123schue@gmx.de>
Fri, 8 May 2015 17:05:06 +0000 (19:05 +0200)
committerMathias Schuepany <123schue@gmx.de>
Fri, 8 May 2015 17:05:06 +0000 (19:05 +0200)
src/acknowledgements.tex
src/configuration/Proxies/HAProxy/haproxy.cfg [new file with mode: 0644]
src/practical_settings/proxy_solutions.tex

index 0f095ee..d65d1da 100644 (file)
@@ -28,6 +28,7 @@ Pichler, Patrick \\
 Riebesel, Nicolas \\
 Roeckx, Kurt \\
 Rublik, Martin \\
+Schüpany, Mathias \\
 Schwarz, René («DigNative») \\
 Seidl, Eva (PDF layout) \\
 Wagner, Sebastian («sebix») \\
diff --git a/src/configuration/Proxies/HAProxy/haproxy.cfg b/src/configuration/Proxies/HAProxy/haproxy.cfg
new file mode 100644 (file)
index 0000000..c2594a7
--- /dev/null
@@ -0,0 +1,38 @@
+global
+    ssl-default-bind-ciphers EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
+    ssl-default-bind-options no-sslv3 #disable SSLv3
+    tune.ssl.default-dh-param 2048 #tune minimum DH to 2048
+    log 127.0.0.1    local0 notice
+    user haproxy
+    group haproxy
+    maxconn 2048
+defaults
+    log     global
+    mode    http
+    option  httplog
+    option  dontlognull
+    option  nolinger
+    retries 3
+    option redispatch
+    timeout connect  5000
+    timeout client  10000
+    timeout server  10000
+
+frontend public
+    bind *:80
+    bind *:443 ssl crt server.pem
+    mode http
+    default_backend backend
+               
+backend backend
+    mode http
+    server server 192.168.1.1:80 check
+    http-request set-header X-Forwarded-Port %[dst_port]
+    http-request add-header X-Forwarded-Proto https if { ssl_fc }
+    rspadd Strict-Transport-Security:\ max-age=15768000;\ includeSubDomains #enable HSTS header for this backend
+    rspadd X-XSS-Protection:\ 1;\ mode=block #enable XSS protection for this backend
+    balance roundrobin
+    option forwardfor
+    option httpchk HEAD / HTTP/1.1\r\nHost:localhost
+    timeout connect 10s
+    timeout server  1m
index 0a22182..2b949fd 100644 (file)
@@ -105,6 +105,23 @@ Disabling protocols and ciphers in a forward proxy environment could lead to une
 
 
 %% ---------------------------------------------------------------------- 
+\subsection{HAProxy}
+% See http://www.haproxy.org/
+
+HAProxy can be used as loadbalancer and proxy for TCP and HTTP-based applications. Since version 1.5 it supports SSL and IPv6.
+
+\subsubsection{Tested with Versions}
+\begin{itemize*}
+  \item HAProxy 1.5.11 with OpenSSL 1.0.1e on Debian Wheezy
+\end{itemize*}
+
+\subsubsection{Settings}
+\configfile{haproxy.cfg}{1-4}{global configuration}
+\configfile{haproxy.cfg}{21-25}{frontend configuration}
+\configfile{haproxy.cfg}{27-33}{backend configuration}
+
+
+%% ---------------------------------------------------------------------- 
 \subsection{Pound}
 % See http://www.apsis.ch/pound
 % See https://help.ubuntu.com/community/Pound