Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid и iptables. Но использовать проброс портов используя iptables нельзя, потому как есть вероятность в случае взлома этого web сервера (это IIS на windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже нет, так повелось.
Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее и на WAN интерфейсе), но Internet Explorer не позволяет выставить две прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, но может кто-то поправит. Вообщем как-то можно решать такую задачу?
>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>есть вероятность в случае взлома этого web сервера (это IIS на
>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>нет, так повелось.
>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>но может кто-то поправит. Вообщем как-то можно решать такую задачу?
Transparent WWW Proxy должен подойти в вашем случае.
Как вариант для FreeBSD и CISCO :
http://www.lexa.ru/articles/transparent-proxy.htmlПо аналогии найдете статьи и для LINUX.
Хотя для вашего случая можно и не transparent, а принудительный прокси для
клиентов из вне.
>>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>>есть вероятность в случае взлома этого web сервера (это IIS на
>>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>>нет, так повелось.
>>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>>но может кто-то поправит. Вообщем как-то можно решать такую задачу?
>
>
>Transparent WWW Proxy должен подойти в вашем случае.
>Как вариант для FreeBSD и CISCO :
>http://www.lexa.ru/articles/transparent-proxy.html
>
>По аналогии найдете статьи и для LINUX.
>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>
>клиентов из вне.поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему web серверу 192.168.10.10 и для это веб сервера запрос будет виден как от клиента с адресом 192.168.1.1 ?????
>>Transparent WWW Proxy должен подойти в вашем случае.
>>Как вариант для FreeBSD и CISCO :
>>http://www.lexa.ru/articles/transparent-proxy.html
>>
>>По аналогии найдете статьи и для LINUX.
>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>
>>клиентов из вне.
>
>поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с
>интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему
>web серверу 192.168.10.10 и для это веб сервера запрос будет виден
>как от клиента с адресом 192.168.1.1 ?????Что за адрес 192.168.1.1, что имеется ввиду?
Для web сервера (192.168.10.10) прокси сервер (192.168.10.1) будет
являтся клиентом.
>>Transparent WWW Proxy должен подойти в вашем случае.
>>Как вариант для FreeBSD и CISCO :
>>http://www.lexa.ru/articles/transparent-proxy.html
>>
>>По аналогии найдете статьи и для LINUX.
>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>
>>клиентов из вне.
Может я не так описал, но поправлю еще раз есть gw у которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10. И нужно что бы пользователь из Инета набрав в своем Internet Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие на web сервер, были от внтуреннгое адреса прокси, а не от пользователя из Инета.
>>>Transparent WWW Proxy должен подойти в вашем случае.
>>>Как вариант для FreeBSD и CISCO :
>>>http://www.lexa.ru/articles/transparent-proxy.html
>>>
>>>По аналогии найдете статьи и для LINUX.
>>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>>
>>>клиентов из вне.
>Может я не так описал, но поправлю еще раз есть gw у
>которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10.
>И нужно что бы пользователь из Инета набрав в своем Internet
>Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому
>как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на
>web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос
>делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие
>на web сервер, были от внтуреннгое адреса прокси, а не
>от пользователя из Инета.Да, это все возможно. Вам просто надо адаптировать схему
http://www.lexa.ru/articles/transparent-proxy.html для вашего случая.
Удачи.
>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>есть вероятность в случае взлома этого web сервера (это IIS на
>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>нет, так повелось.
>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>но может кто-то поправит. Вообщем как-то можно решать такую задачу?
Можно просто поставить nginx (http://sysoev.ru/nginx)
в доках смотреть proxy_pass
http://sysoev.ru/nginx/docs/http/ngx_http_proxy_module.html#...
кстати в таком контексте еще и в скорости можно
выиграть)