Image by: Ed Webster

Introduction à Nginx et aux reverse proxies

Saviez-vous que 47% des violations de sécurité web impliquent des applications non protégées derrière des pare-feux traditionnels ? C’est là qu’intervient le reverse proxy Nginx, un outil essentiel pour tout administrateur réseau. Imaginez un garde du corps intelligent qui filtre le trafic entrant, protège vos serveurs internes et optimise les performances – c’est exactement ce rôle que remplit un reverse proxy. Dans ce tutoriel pratique, vous apprendrez pas à pas à configurer Nginx comme reverse proxy, depuis l’installation jusqu’aux techniques avancées de sécurisation. Que vous soyez débutant ou administrateur intermédiaire, vous maîtriserez les concepts clés : création de blocs serveur, implémentation de SSL/TLS via Let’s Encrypt, équilibrage de charge basique et protection contre les attaques DDoS et injections. Une étude récente de W3Techs révèle que Nginx équipe 34% des sites à fort trafic, prouvant son efficacité en environnement professionnel.

Installation et configuration de base de Nginx

Commençons par installer Nginx sur un système Ubuntu 22.04 LTS. Connectez-vous en SSH et exécutez :

1. sudo apt update && sudo apt upgrade -y
2. sudo apt install nginx -y
3. sudo systemctl start nginx && sudo systemctl enable nginx

Vérifiez l’installation avec systemctl status nginx. La structure clé des fichiers :

• /etc/nginx/nginx.conf : Fichier de configuration principal
• /etc/nginx/sites-available/ : Stocke les configurations de sites
• /etc/nginx/sites-enabled/ : Liens symboliques vers les configurations actives

Pour un reverse proxy basique, éditez un nouveau bloc serveur :

server {
    listen 80;
    server_name votre-domaine.fr;
    location / {
        proxy_pass http://IP_INTERNE_SERVEUR:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Testez la syntaxe avec nginx -t puis rechargez avec systemctl reload nginx. Cette configuration redirige déjà le trafic vers votre serveur backend tout en masquant son adresse IP réelle – première barrière de sécurité essentielle.

Configuration des blocs serveur et gestion SSL/TLS

La création de blocs serveur (virtual hosts) permet d’héberger plusieurs services sous un même Nginx. Pour un site web et une API :

1. Créez /etc/nginx/sites-available/mon-site avec :

     server {
         listen 80;
         server_name site.com;
         root /var/www/html/site;
         # ... autres directives
     }
     

2. Créez /etc/nginx/sites-available/mon-api avec :

     server {
         listen 80;
         server_name api.site.com;
         location / {
             proxy_pass http://localhost:3000;
         }
     }
     

3. Activez-les via ln -s /etc/nginx/sites-available/mon-* /etc/nginx/sites-enabled/

Pour le SSL/TLS, installez Certbot :
sudo apt install certbot python3-certbot-nginx
Obtenez un certificat :
sudo certbot --nginx -d site.com -d api.site.com

Certbot modifie automatiquement vos blocs serveur pour inclure :

listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/site.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/site.com/privkey.pem;

Configurez le renouvellement automatique avec crontab -e :
0 12 * * * /usr/bin/certbot renew --quiet

Mise en place d’un équilibrage de charge simple

Nginx excelle dans la répartition de charge entre plusieurs serveurs backend. Supposons que vous ayez trois serveurs d’application :

1. Ajoutez un bloc upstream dans nginx.conf :

     upstream backend {
         server 192.168.1.10:8000 weight=3;
         server 192.168.1.11:8000;
         server 192.168.1.12:8000 backup;
     }
     

2. Modifiez votre bloc serveur :

     location / {
         proxy_pass http://backend;
         proxy_next_upstream error timeout http_500;
     }
     

Les méthodes d’équilibrage disponibles :

• Round-robin : Par défaut, répartition égale
• Least connections : Dirige vers le serveur le moins occupé
• IP Hash : Persistance de session basée sur IP client

Pour activer least connections, ajoutez :
least_conn; dans le bloc upstream. Testez avec ab -n 1000 -c 50 http://votre-domaine/ (Apache Bench) pour simuler du trafic. Une configuration optimisée peut augmenter le débit de 40% selon les benchmarks officiels.

Sécurisation du reverse proxy contre les attaques courantes

Protégez votre infrastructure avec ces mesures éprouvées :

Contre les DDoS

Limitez le débit dans http { } :
limit_req_zone $binary_remote_addr zone=reqlimit:10m rate=10r/s;
Puis dans server { } :
limit_req zone=reqlimit burst=20 nodelay;

Contre les injections SQL/XSS

Ajoutez des en-têtes de sécurité :
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
Bloquez les patterns dangereux :

location ~* "(\|%3E)" {
    return 403;
}

Activez le pare-feu applicatif ModSecurity :
sudo apt install libmodsecurity3 && sudo nano /etc/nginx/modsec/modsecurity.conf

Frequently asked questions

Conclusion

Configurer un reverse proxy Nginx est une compétence indispensable pour sécuriser et optimiser vos services web. Vous maîtrisez désormais l’essentiel : installation des composants, création de blocs serveur, déploiement de SSL/TLS via Let’s Encrypt, implémentation d’équilibrage de charge et techniques de durcissement contre les attaques. N’oubliez pas que la sécurité est un processus continu – mettez régulièrement à jour Nginx (sudo apt upgrade nginx), analysez vos logs avec des outils comme GoAccess, et testez vos configurations avec nginx -t avant chaque déploiement. Pour approfondir vos connaissances sur les bonnes pratiques réseau, explorez nos guides avancés. Passez à l’action dès aujourd’hui : implémentez au moins une mesure de sécurité présentée dans ce tutoriel et mesurez son impact sur votre infrastructure !