- Ich habe eine Industriemaschine. Der Anbieter hat eine industrielle VPN-Box (Gerät A unten) hinzugefügt und alle Geräte im LAN so eingestellt, dass sie diese als Gateway verwenden.
- Der Anbieter ist äußerst sicherheitsbewusst und wird (wenn möglich) keine NAT-Regeln einrichten, die es mir ermöglichen, mit den Geräten im LAN des Computers zu kommunizieren. Dies verhindert, dass ich Computerdaten erfassen und Fernsupport vom Büro oder von zu Hause aus leisten kann.
Was ist die korrekte Terminologie oder Bezeichnung für Gerät B, das folgende Funktionen bietet:
- Ein WAN- und LAN-Port.
- Möglichkeit, mehrere WAN-Adressen festzulegen und Anfragen an diese Adressen an bestimmte LAN-Adressen zu binden oder weiterzuleiten.
- Sorgen Sie dafür, dass die Anfragen als lokal angezeigt werden, sodass für die Antwort nicht die Verwendung des Gateways erforderlich ist (wodurch die Antwort in die falsche Richtung gesendet würde).
Handelt es sich um eine Art Reverse-Proxy? Ich gehe davon aus, dass dieses Problem schon oft gelöst wurde und eine Linux-Konfiguration Abhilfe schaffen könnte. Welche Suchbegriffe soll ich verwenden?
Vielen Dank.
Antwort1
A)Es klingt wirklich sehr nach einem normalenRouter(auch Gateway genannt). Alle von Ihnen aufgelisteten Funktionen sind die üblichen NAT-Funktionen (SNAT und DNAT), die Router normalerweise unterstützen.
Beispielsweise ist das zweite Element normales DNAT (auch bekannt als „Portweiterleitung“), nur mit spezifischeren Übereinstimmungsparametern – was Sie brauchen, ist ein Router, der Übereinstimmungen mit „externer IP“ in den DNAT-Regeln zulässt, was viele tatsächlich tun. Ebenso ist das dritte Element dieselbe Art von SNAT (auch bekannt als „Masquerading“), die viele Router bereits auf der WAN-Schnittstelle durchführen, nur dass es in Ihrem Fall stattdessen über die LAN-Schnittstelle erfolgt.
Das Wichtigste, worauf Sie achten müssen, ist, ob die Firmware des Routers flexibel genug ist, d. h., was Sie wollen, istnichtder spezielle „drahtlose Heim-/Büro-Router“, der einen festen Anwendungsfall voraussetzt, aber ein allgemeinerer „Unternehmensrouter“, dessen Verhalten Sie von Grund auf neu entwickeln können. (Ich weiß nicht, ob das tatsächlich der richtige Begriff ist – es muss natürlich nicht unternehmenspreisig sein – aber das Problem ist wirklich, dass esIstnur ein generischer Router. Manchmal passt auch „Enterprise Firewall“.)
Als konkretes Beispiel sollten Geräte mit RouterOS oder OpenWRT über die erforderlichen Funktionen verfügen. Ein Computer mit zwei Ethernet-Ports, auf dem ein Routing- und NAT-fähiges Betriebssystem läuft (z. B. jedes Linux mit nftables/iptables oder eine BSD-Variante mitpf) würde den Job auch gut erledigen.
B)Allerdings könnte allesAuchkann mit einem „Reverse-Proxy“ durchgeführt werden. Der Hauptunterschied besteht darin, dass Proxys auf höheren Ebenen arbeiten, z. B. verarbeiten sie anstelle von Roh-IP-Paketen TCP-Verbindungen oder sogar einzelne HTTP-Anfragen. Sie müssen ihn also basierend auf der Art der Kommunikation auswählen, die Sie durchführen möchten.
Das bedeutet aber, dass die dritte Funktion in alle Reverse-Proxys "eingebaut" ist, da der Proxy intern eine ganz neue Verbindung von seiner eigenen LAN-Adresse aus aufbauen würde – stattdessenkonservierendDie Quelladresse wäre schwieriger.
Reverse-Proxys überschneiden sich auch teilweise mit „Load Balancern“ (viele bewerben sich als beides). Es handelt sich nicht unbedingt um dedizierte Geräte oder Appliances, sondern in der Regel nur um Software, die auf einem allgemeinen Computer ausgeführt wird, wie Nginx, HAproxy oder relayd.
Wenn Ihre Anfragen also alle HTTP-basiert sind, würde ein HTTP-Reverse-Proxy funktionieren (er könnte sogar HTTPS auf der WAN-Seite hinzufügen, während er intern immer noch Klartext-HTTP verwendet), aber viele Proxys/Balancer können auch reines TCP. (Ich denke allerdings, dass generische UDP-Unterstützung weniger verbreitet ist, aber nicht nicht vorhanden ist.)
In beiden Fällen denke ich, dass „WAN- und LAN-Ports“ nicht wirklich das sind, wonach Sie suchen. Ich würde eher das Gegenteil sagen – ein Enterprise-Router, dernichtüber solche Ports vordefiniert sind (und nur über Ethernet1, Ethernet2 usw. verfügen), ist für Ihre Zwecke wahrscheinlich flexibler als ein Router, bei dem dies der Fall ist.