普段なら直面するはずのない問題を抱えている。しかし、これに打ちのめされて、私は叔父を呼んでいる。
以前、ここで次のようなことを投稿しました:(カチカチ)
今、私は自分の問題に対する答えを探しています
私たちのネットワークは次の通りです。
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
WAN には IP が 1 つありますが、私たちは赤十字社なのでお金がありません。実際、私たちは慈善団体なので、IP をさらに取得する余裕はありません (ヨルダンでは IP にかなりの費用がかかります)。
したがって、ファイアウォールの内側にあるすべてのサービスへのアクセスは必須です。
面白いのは、私が管理者の役割を引き受けなければならなかった開発者だということです。
上記のリンクにある以前の ACL を試しましたが、さらに ACL を追加しても、取得できるのは DMZ 上の Web サーバーへのルートだけです。LAN サブネット上にある DVR にアクセスしようとしていて、DNS が正しく解決しているにもかかわらずです。
もちろん、SSL の関与を必要とする他のサービス (具体的には exchange\owa) があるため、さらに複雑になります。
だから、友人の皆さん、私は膝をつき、顔は傷つき、魂は枯れ果て、手を伸ばして、ネットワークや私の魂を破壊しないであろう答えを求めながら、皆さんのところへ来ました。
基本的に、私はリバース プロキシをネットワーク上で動作させようとしています。できれば最小限の変更で、ファイアウォールの Web 側からサービスを使用できるようにしたいのです。Squid (PFsense にあるもの) で実行できれば素晴らしいことです。
どのような回答でも大歓迎です。
答え1
- パブリック アクセスが必要なものはすべて「DMZ」セグメントに配置します。これが標準的なセキュリティです。
- PFsenseでは、「ファイアウォール: NAT: ポート転送」を使用して、パブリックWAN-IP:ポートをDMZ上のリソースに割り当てます。
選択できるポートは 65534 個ありますが、HTTP のポート 80 など、一部のポートは他のポートよりも標準的です。
答え2
Squid に関してはお答えできませんが、Apache と mod_proxy を使用すれば簡単に実行できます。私は pfsense に詳しくないので、Apache を統合できるかどうかはわかりませんが、もしできるなら、次の操作を実行してください。
ホストしている内部サイトごとに、仮想ホストを使用してサイトを設定するだけです。次に、pfsense ファイアウォール内で、ポート 80 の WAN IP の要求を、仮想ホストをリッスンするように設定した IP にリダイレクトします。たとえば、こちらは私たちが使用しているサニタイズされた構成です (タグ括弧の代わりに引用符を使用)。
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
次に、ホスト レコードに適切なエントリを追加して、リバース プロキシ エントリの名前解決が機能するようにします。