Ich habe einige Probleme, mit denen ich normalerweise nicht konfrontiert werden sollte. Aber nachdem ich dadurch bewusstlos geschlagen wurde, rufe ich Onkel.
Ich habe hier bereits etwas in dieser Art gepostet: (Klickety)
Jetzt suche ich nach einer Antwort auf mein Problem
Wir verfügen über folgendes Netzwerk:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
WAN hat eine IP und da wir eine Rotkreuzgesellschaft sind, haben wir kein Geld, weil wir in der Tat ein Wohltätigkeitsfall sind und es uns nicht leisten können, mehr IPs zu bekommen (sie kosten hier in Jordanien ein hübsches Sümmchen)
Daher ist der Zugriff auf alle Dienste innerhalb der Firewall ein Muss.
Das Lustige daran ist: Ich bin ein Entwickler, der die Rolle des Administrators übernehmen musste.
Ich habe die vorherigen ACLs im obigen Link ausprobiert und selbst mit mehr ACLs kann ich immer nur eine Route zum Webserver in der DMZ erhalten, obwohl ich versuche, auf den DVR zuzugreifen, der sich im LAN-Subnetz befindet, und der DNS ihn korrekt auflöst.
Natürlich wird es komplizierter, da es andere Dienste gibt, die die Einbindung von SSL erfordern (insbesondere Exchange\OWA).
Also bin ich zu euch gekommen, meine Freunde, auf Knien hin und her schlurfend, mit zerschundenem Gesicht und verdorrter Seele, und strecke meine Hände aus, um um eine Antwort zu bitten, von der ich hoffe, dass sie weder das Netzwerk (die Netzwerke) noch meine Seele zerstört.
Im Grunde versuche ich, Reverse Proxy in meinem Netzwerk zum Laufen zu bringen, vorzugsweise mit minimalen Änderungen, damit wir unsere Dienste von der Webseite der Firewall aus nutzen können. Wenn das mit Squid (dem auf PFsense) möglich ist, dann ist das fantastisch.
Vielen Dank für alle Antworten.
Antwort1
- Platzieren Sie alles, was öffentlichen Zugriff benötigt, im „DMZ“-Segment. Das ist Standardsicherheit.
- Verwenden Sie in PFsense die Funktion „Firewall: NAT: Port Forward“, um der Ressource in der DMZ eine öffentliche WAN-IP:Port zuzuweisen
Es stehen 65534 Ports zur Auswahl, wobei einige standardmäßiger sind als andere, z. B. Port 80 für HTTP.
Antwort2
Ich kann nichts zu Squid sagen, aber das geht ganz einfach mit Apache und mod_proxy. Ich kenne mich mit pfsense nicht aus, daher weiß ich nicht, ob Sie Apache damit integrieren können, aber wenn ja:
Richten Sie einfach eine Site mit virtuellen Hosts für jede interne Site ein, die Sie hosten. Leiten Sie dann innerhalb der pfsense-Firewall Anfragen für Ihre WAN-IP auf Port 80 an die IP um, die Sie zum Abhören des virtuellen Hosts festgelegt haben. Hier ist beispielsweise eine bereinigte Konfiguration, die wir verwenden (Anführungszeichen statt Tag-Klammern).
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
Fügen Sie anschließend einfach die entsprechenden Einträge für die Host-Records ein, damit die Namensauflösung für Ihre Reverse-Proxy-Einträge funktioniert.