プロキシを設定する場合、プロキシに送信されインターネットに送信されるトラフィックには、クライアントの送信元 IP アドレスとプロキシの IP アドレスのどちらが含まれますか?
プロキシをバイパスできないようにネットワークを設定する必要があります。トラフィックがプロキシから発信され、ネットワーク上のクライアントによる直接アクセスが拒否されるようにする方がよいと思います。
プロキシ データがソース IP アドレスを保持している場合、プロキシをバイパスすることに対抗する方法はありますか?
答え1
プロキシは仲介者です。ゲートウェイと、クライアントがアクセスする外部リソースのホストは、元のクライアントではなくプロキシから発信された IP トラフィックを監視します。
プロキシの使用が必須である場合は、出口ポイントでパケット フィルターを構成して、プロキシからのトラフィックを許可しながら、他のクライアントによる直接アクセスの試みを拒否することができます。IP スプーフィングやデータ レイヤー ポイズニングを使用してプロキシをバイパスするリスクを回避するために、プロキシを独自のネットワーク セグメントに配置することをお勧めします。
この配置は、プロキシがリクエストが別のクライアントに転送されたことを示す情報を含めることを妨げるものではありません。ダウンストリーム クライアントは、プロキシ サーバー経由でトラフィックを渡すときに自動的に匿名にはなりません。たとえば、ウェブプロキシはX-Forwarded-Forヘッダ処理された HTTP トラフィックに適用され、ヘッダーにはトラフィックが転送されるクライアント マシンの IP アドレスが含まれます (これらは、元の要求元クライアント、下流プロキシ、またはその両方のアドレスである可能性があります)。