Назад | Перейти на главную страницу

Мульти-подсети обратного прокси

У меня есть некоторые проблемы, с которыми я не должен сталкиваться обычно. Но после того, как я потерял сознание от этого, я вызываю дядю.

Я ранее размещал здесь что-то подобное: (Clickety)

Теперь я ищу ответ на свою проблему

У нас есть такая сеть:

               __________ DMZ (10.0.0.0/24)  
              |  
WAN -----  PFsense ---------- LAN (192.168.1.0/22)  
              |  
              |_________ Wireless (172.169.50/24)

WAN имеет один IP-адрес, и, поскольку мы являемся обществом Красного Креста, у нас нет денег, потому что на самом деле мы являемся благотворительной организацией, и мы не можем позволить себе получить больше IP-адресов (они стоят немалые деньги здесь, в Иордании)

Поэтому доступ ко всем службам внутри брандмауэра является обязательным.

Вот что самое забавное. Я разработчик, которому пришлось принять на себя роль администратора.

Я пробовал предыдущие ACL по ссылке выше, и даже с большим количеством ACL все, что я когда-либо мог получить, это маршрут к веб-серверу в DMZ; хотя я пытаюсь получить доступ к DVR, который находится в подсети LAN, и DNS разрешает его правильно.

Конечно, это становится более сложным, поскольку есть другие службы, которым требуется участие ssl (в частности, exchange \ owa).

Итак, я пришел к вам, друзья, шаркая на коленях, с разбитым лицом и увядшей душой, протягивая руки и прося ответа, который, надеюсь, не разрушит сеть (сети) или мою душу.

По сути, я пытаюсь заставить обратный прокси-сервер работать в моей сети, желательно с минимальными изменениями, чтобы мы могли использовать наши службы через брандмауэр на веб-стороне. Если это можно сделать с помощью кальмара (того, который есть на PFsense), тогда отлично.

Большое спасибо за любые ответы.

Я не могу ответить по поводу Squid, но это легко сделать с помощью Apache и mod_proxy. Я не знаком с pfsense, поэтому не знаю, можете ли вы интегрировать с ним Apache, но можете ли вы:

Просто создайте сайт, используя виртуальные хосты для каждого внутреннего сайта, который вы размещаете. Затем в брандмауэре pfsense запросы перенаправления для вашего IP-адреса WAN на порт 80 на любой IP-адрес, который вы установили для прослушивания виртуального хоста. Например, вот используемая нами обновленная конфигурация (кавычки вместо скобок тегов). 


NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443

#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
        ServerName mail.domain.com:80
        ProxyPass https://mail.domain.com/
        ProxyPassReverse https://mail.domain.com/
        SSLRequireSSL
"/VirtualHost"

##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
        ServerName wiki.domain.com:80
        ProxyPass / http://wiki.domain.com/
        ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"

Затем просто добавьте соответствующие записи для записей хоста, чтобы разрешение имен работало для записей обратного прокси.

  1. Поместите все, что требует общего доступа, в сегмент «DMZ». Это стандартная безопасность.
  2. В PFsense используйте «Межсетевой экран: NAT: переадресация порта», чтобы назначить общедоступный порт WAN-IP: для ресурса в DMZ.

На выбор предлагается 65534 порта, хотя некоторые из них более стандартные, чем другие, например порт 80 для HTTP.