fragen stichworte

Reverse Proxy-Multisubnetze

Ich habe einige Probleme, vor denen ich denke, dass ich normalerweise nicht konfrontiert sein sollte. Aber nachdem ich dadurch sinnlos geschlagen habe, rufe ich den Onkel.

Ich habe hier bereits etwas in diese Richtung geschrieben: (Clickety)

Nun suche ich nach einer Antwort auf mein Problem

Wir haben ein Netzwerk wie folgt:

              __________ DMZ (10.0.0.0/24)  
              |  
WAN -----  PFsense ---------- LAN (192.168.1.0/22)  
              |  
              |_________ Wireless (172.169.50/24)  

WAN hat eine IP-Adresse, und da wir eine Gesellschaft des Roten Kreuzes sind, haben wir kein Geld, weil wir in der Tat eine Wohltätigkeitsorganisation sind, die wir uns nicht leisten können, mehr IPs zu bekommen (sie kosten hier in Jordanien ziemlich viel)

Der Zugriff auf alle Dienste innerhalb der Firewall ist daher ein Muss.

Hier ist der lustige Teil. Ich bin ein Entwickler, der den Mantel von Admin annehmen musste.

Ich habe die vorherigen ACLS im obigen Link ausprobiert und selbst bei mehr ACLS kann ich nur einen Weg zum Webserver auf der DMZ erhalten. obwohl ich versuche, auf den DVR zuzugreifen, der sich im LAN-Subnetz befindet und der DNS es richtig auflöst.

Natürlich wird es komplizierter, da es andere Dienste gibt, die die Einbeziehung von SSL (insbesondere Exchange \ owa) erfordern.

Also, ich bin zu Ihnen gekommen, meine Freunde, schlurfte auf meinen Knien, das Gesicht ist angeschlagen und die Seele verwelkt. Ich strecke mit meinen Händen aus und bitte um eine Antwort, von der ich hoffe, dass sie die Netzwerke oder meine Seele nicht zerstört.

Grundsätzlich versuche ich, Reverse Proxy in meinem Netzwerk zu arbeiten, vorzugsweise mit minimalen Änderungen, damit wir unsere Dienste von der Firewall-Seite aus nutzen können. Wenn es mit Tintenfisch (der auf PFsense) gemacht werden kann, dann wäre das fantastisch.

Vielen Dank für alle Antworten.

antworten

  1. Stellen Sie alles, was öffentlich zugänglich ist, in das Segment "DMZ" ein. Das ist Standardsicherheit.
  2. Verwenden Sie in PFsense die "Firewall: NAT: Port Forward", um der Ressource in der DMZ einen öffentlichen WAN-IP: Port zuzuweisen.

Es stehen 65534 Ports zur Auswahl, obwohl einige Standardanschlüsse sind, z. Port 80 für HTTP.

Ich kann nicht zu Squid antworten, aber dies ist mit Apache und mod_proxy problemlos möglich. Ich bin nicht mit pfsense vertraut, daher weiß ich nicht, ob Sie Apache damit integrieren können, aber wenn Sie können:

Richten Sie einfach eine Site mit virtuellen Hosts für jede interne Site ein, die Sie hosten. Dann leiten Sie innerhalb der pfsense-Firewall die Anforderungen für Ihre WAN-IP-Adresse an Port 80 an die IP-Adresse um, die Sie für die Überwachung des virtuellen Hosts festgelegt haben. Hier ist zum Beispiel eine santized-Konfiguration, die wir verwenden (Anführungszeichen anstelle von Tag-Klammern).


NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443

#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
        ServerName mail.domain.com:80
        ProxyPass https://mail.domain.com/
        ProxyPassReverse https://mail.domain.com/
        SSLRequireSSL
"/VirtualHost"

##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
        ServerName wiki.domain.com:80
        ProxyPass/http://wiki.domain.com/
        ProxyPassReverse/http://wiki.domain.com/
"/VirtualHost"

Fügen Sie dann einfach die entsprechenden Einträge für die Hosteinträge hinzu, damit die Namensauflösung für Ihre Reverse-Proxy-Einträge funktioniert.