Mein Ziel besteht darin, Clients über das Internet zu ermöglichen, sich mit einem Squid-Proxyserver zu verbinden, einen Benutzernamen und ein Passwort einzugeben und dann unter Verwendung von IP-Adressen wie 192.168.11.152 auf mehrere HTTP-Server im internen Netzwerk zuzugreifen, zu dem der Server gehört. Derzeit erfolgt der Zugriff auf diese Server über ein Durcheinander von NAT-Portweiterleitungen vom internen Port 80 bei einer bestimmten IP zu einem nicht standardmäßigen externen Port. Dabei müssen die Benutzer sich merken, dass auf das Gerät mit der IP 192.168.11.152 über http://example.com:8936 zugegriffen wird, und das ist nicht ideal. Außerdem unterstützen viele dieser Geräte keine Benutzernamen und Passwörter, sodass ich auf Sicherheit durch Unklarheit angewiesen bin. Ich möchte kein VPN verwenden, da der einzige Datenverkehr, den ich von außen in das Netzwerk zulassen möchte, HTTP- und HTTPS-Datenverkehr ist. Ich kann die HTTP-Server auf keinem meiner Geräte ändern, da es sich bei allen um eingebettete Systeme handelt (Netzschalter, Überwachungskameras, Signalgeräte usw.). Ich habe nach Anleitungen zum Einrichten von Squid-Proxyservern unter Debian gesucht, aber sie alle befassen sich mit dem Einrichten anonymer Proxys, unterstützen keine Benutzernamen und Passwörter und erlauben Proxy-Verbindungen zu externen Ressourcen. Sobald eine Verbindung zum Proxy besteht, sollte dieser nur noch den Datenverkehr an 192.168.11.xxx-Adressen weiterleiten. Daher meine Fragen:
- Ist das überhaupt möglich? Meinen Google-Suchen zufolge macht das niemand, und vielleicht liegt das daran, dass es nicht möglich ist?
- Ist das eine gute Idee? Wenn nicht, gibt es bessere, die sicherer sind und trotzdem meine Anforderungen erfüllen?
- Wo fange ich an? Alle Online-Anleitungen enthalten nur ausgeschnittene und eingefügte Konfigurationsdateien, ohne etwas zu erklären, sodass ich sie nicht wirklich für meine Zwecke ändern kann. Die Manpages sind so undurchsichtig, dass ich bereits wissen müsste, was ich will, bevor ich Informationen dazu finde. Gibt es irgendwo ein gutes Buch/eine Reihe von Tutorials, die ich verpasst habe?
Mir ist bewusst, dass eine vollständige Beantwortung dieser Frage mehr Zeit in Anspruch nehmen würde, als jemand, der nicht ich bin, dafür aufwenden kann. Ich akzeptiere eine Antwort, die die oben genannten drei Punkte kurz bespricht und detaillierte Referenzen enthält.
Antwort1
Es gibt eine hervorragende Alternative, wenn Ihre Benutzer SSH-Zugriff auf das Netzwerk haben.
Verwenden Sie beispielsweise
ssh -D9090
Sie öffnen einen SOCKS-Proxy-Port auf ihrem jeweiligen lokalen Rechner. Über diesen SOCKS-Proxy können sie dann auf jedes Ziel im lokalen Netz des SSH-Servers zugreifen.
Dies kann besonders praktisch sein, wenn Sie Firefox mit einer Erweiterung wieFoxy-Proxy, in dem man eine Whitelist (zB http://192.168.11.*/plus https) definieren kann, sodass die entsprechenden IPs (und nur diese) über den Proxy besucht werden.