- 産業用機械を所有しています。ベンダーは産業用 VPN ボックス (以下のデバイス A) を追加し、それをゲートウェイとして使用するように LAN 上のすべてのデバイスを設定しました。
- ベンダーはセキュリティを非常に重視しており、マシン LAN 上のデバイスと通信できるように NAT ルールを設定しません (可能な場合)。これにより、マシン データを収集したり、オフィスや自宅からリモート サポートを提供したりできなくなります。
次のような特徴を持つデバイスBの正しい用語または名前は何ですか?
- WAN および LAN ポート。
- 複数の WAN アドレスを設定し、これらのアドレスへの要求を特定の LAN アドレスに結び付けたり転送したりする機能。
- 応答にゲートウェイの使用が必要にならないように (ゲートウェイを使用すると応答が間違った方向に送信される)、要求をローカルとして表示します。
これはリバース プロキシの一種でしょうか? この問題はこれまで何度も解決されており、Linux 構成が役立つと思います。どのような検索用語を使用すればよいでしょうか?
どうもありがとう。
答え1
a)まさに普通のルーター(別名ゲートウェイ)。リストされている機能はすべて、ルーターが通常実行できる通常の NAT (SNAT および DNAT) です。
たとえば、2 番目の項目は通常の DNAT (別名「ポート転送」) ですが、より具体的な一致パラメータが使用されています。必要なのは、DNAT ルールで「外部 IP」の一致を許可するルータであり、実際に多くのルータがこれを行っています。同様に、3 番目の項目は、多くのルータが WAN インターフェイスで既に実行しているのと同じ種類の SNAT (別名「マスカレード」) ですが、この場合、LAN インターフェイスを出て実行されます。
したがって、注目すべき主な点は、ルーターのファームウェアが十分に柔軟であるかどうか、つまり、あなたが望むのはない特定の「家庭/オフィス用ワイヤレス」タイプのルーターは、特定の使用例を想定していますが、より一般的な「エンタープライズルーター」では、動作をゼロから構築できます。(これが実際に適切な用語であるかどうかはわかりません。もちろん、エンタープライズ価格である必要はありませんが、実際の問題は、は単なる汎用ルーター。場合によっては「エンタープライズ ファイアウォール」も適している場合があります。
具体的な例として、RouterOSまたはOpenWRTを搭載したデバイスは必要な機能を備えているはずです。ルーティングとNATが可能なOS(nftables/iptablesを備えたLinux、またはBSDの変種)が稼働している2つのイーサネットポートを備えたコンピュータは、PF) でも問題なく機能します。
b)そうは言っても、すべてがまた「リバース プロキシ」で実行できますが、主な違いは、プロキシは上位層で動作することです。たとえば、生の IP パケットの代わりに、TCP 接続や個々の HTTP 要求を処理します。そのため、実行する通信の種類に基づいて選択する必要があります。
しかし、これは実際には、3番目の機能がすべてのリバースプロキシに「組み込まれている」ことを意味します。内部的には、プロキシは独自のLANアドレスからまったく新しい接続を確立することになります。保存する送信元アドレスはより困難になります。
リバース プロキシは、「ロード バランサー」とも多少重複しています (両方として宣伝されているものも多くあります)。リバース プロキシは必ずしも専用のデバイスやアプライアンスではなく、通常は Nginx、HAproxy、relayd などの一般的なコンピューターで実行されるソフトウェアです。
したがって、リクエストがすべて HTTP ベースである場合、HTTP リバース プロキシが機能します (内部的にはプレーンテキスト HTTP を通信しながら、WAN 側に HTTPS を追加することもできます)。ただし、多くのプロキシ/バランサーは生の TCP も実行できます。(汎用 UDP サポートはあまり一般的ではないと思いますが、まったくないわけではありません。)
どちらの場合も、「WANポートとLANポート」はあなたが探しているものではないと思います。むしろその逆で、しないこのようなポートが事前に定義されているルータ(Ethernet1、Ethernet2 などがあるだけ)の方が、そのようなポートが事前に定義されているルータよりも、目的に十分対応できる柔軟性がある可能性が高くなります。