Obtendo SSL para trabalhar no projeto Django

1

Estou tentando fazer com que meu site do Django seja movido inteiramente para https (atualmente é somente http ). O servidor web é nginx (proxy reverso) e gunicorn.

No entanto, mesmo depois de instalar corretamente o SSL, abrir a porta 443 e ajustar meu arquivo host virtual nginx, não consigo me conectar ao meu site com https://example.com ( http://example.com funciona bem). Alguém pode me orientar sobre como solucionar isso?

Aqui estão os detalhes:

Em /etc/iptables/rules.v4 (eu uso o pacote iptables-persistent ), eu tenho esse trecho entre outras linhas:

# Acceptable TCP traffic
-A TCP -p tcp --dport 22 -j ACCEPT
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

Se eu escrever sudo netstat -4plunt , a saída mostrará que a porta 443 está escutando:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      18445/nginx     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      923/sshd        
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      719/postgres    
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      18445/nginx    

Meu arquivo host virtual nginx na pasta sites-enabled contém o seguinte código:

server {
    listen 80;

    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /etc/ssl/certs/ssl-bundle.crt;
    ssl_certificate_key /etc/ssl/private/myserver.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

    charset utf-8;
    underscores_in_headers on;

    location = /favicon.ico { access_log off; log_not_found off; }

    location /static/ {

        root /home/myuser/myprojectfolder/myproject;
    }

    location /static/admin/ {

        root /home/myuser/.virtualenvs/myenv/local/lib/python2.7/site-packages/django/contrib/admin/static/;
    }

    location /status {
        stub_status on;
        allow 127.0.0.1;
        allow 40.114.247.165;
        deny all;
    }

    location / {
        proxy_pass_request_headers on;
        proxy_buffering on;
        proxy_buffers 8 24k;
        proxy_buffer_size 2k;
        include proxy_params;
        #include /etc/nginx/naxsi.rules;
        #include /etc/nginx/naxsi_whitelist.rules;
        proxy_pass          http://unix:/home/myuser/myprojectfolder/myproject/myproject.sock;

    }


    error_page 500 502 503 504 /500.html;
    location = /500.html {
        root /home/myuser/myprojectfolder/myproject/templates/;
   }
}

Por último, adicionei a seguinte linha ao arquivo settings.py do meu projeto django:

SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

Depois de fazer todas as alterações acima, ainda não consigo executar meu site em https ; a conexão sempre expira.

Alguém pode me ajudar com onde começar a solucionar esse problema? Peça-me mais informações para o caso de você precisar.

O conjunto completo de regras em /etc/iptables/rules.v4 é o seguinte:

*filter
# Allow all outgoing, but drop incoming and forwarding packets by default
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# Custom per-protocol chains
:UDP - [0:0]
:TCP - [0:0]
:ICMP - [0:0]

# Acceptable UDP traffic

# Acceptable TCP traffic
-A TCP -p tcp --dport 22 -j ACCEPT
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

# Acceptable ICMP traffic

# Boilerplate acceptance policy
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT

# Drop invalid packets
-A INPUT -m conntrack --ctstate INVALID -j DROP

# Pass traffic to protocol-specific chains
## Only allow new connections (established and related should already be handled)
## For TCP, additionally only allow new SYN packets since that is the only valid
## method for establishing a new TCP connection
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP
-A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP

# Reject anything that's fallen through to this point
## Try to be protocol-specific w/ rejection message
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable

# Commit the changes
COMMIT

*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*security
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

/proc/net/ip_tables_matches contém:

conntrack
conntrack
conntrack
udplite
udp
tcp
icmp

proxy_params incluído no meu arquivo host virtual nginx contém o seguinte:

proxy_set_header Host $host;
proxy_set_header User-Agent $http_user_agent;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Remote-Addr $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
    
por Hassan Baig 21.02.2016 / 05:20

1 resposta

1

A conexão pode ter expirado porque seus Iptables podem não estar corretos em algum momento.

Tente liberar seus Iptables (salve-os primeiro se tiver algum trabalho lá) Isso seria bom para adicionar após o teste de flush.

-A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Allow inbound traffic from established connections.
# This includes ICMP error returns.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
por 21.02.2016 / 17:42