Wenn ich einen Proxy einrichte, hat der Datenverkehr, der dorthin und ins Internet geht, die Quell-IP-Adresse des Clients oder die IP-Adresse des Proxys?
Ich muss ein Netzwerk einrichten, damit der Proxy nicht umgangen werden kann. Ich denke, es wäre besser, wenn der Datenverkehr vom Proxy ausgehen würde, sodass der direkte Zugriff von Clients im Netzwerk verweigert werden kann.
Wenn die Proxy-Daten ihre Quell-IP-Adresse behalten, gibt es Möglichkeiten, die Umgehung des Proxys zu verhindern?
Antwort1
Der Proxy ist ein Vermittler.Ihr Gateway und die Hosts der externen Ressourcen, auf die Ihre Clients zugreifen, beobachten den IP-Verkehr, der vom Proxy und nicht vom ursprünglichen Client stammt.
Wenn die Verwendung des Proxys obligatorisch ist, können und sollten Sie am Ausgangspunkt einen Paketfilter konfigurieren, um den Datenverkehr vom Proxy zuzulassen und gleichzeitig alle Versuche eines direkten Zugriffs durch andere Clients zu unterbinden. Möglicherweise möchten Sie den Proxy in einem eigenen Netzwerksegment platzieren, um das Risiko zu vermeiden, den Proxy durch IP-Spoofing oder Data Layer Poisoning zu umgehen.
Diese Vereinbarung hindert den Proxy nicht daran, Informationen einzuschließen, die darauf hinweisen, dass die Anforderung für einen anderen Client weitergeleitet wurde.Ihre Downstream-Clients sind nicht automatisch anonym, wenn sie ihren Datenverkehr über einen Proxy-Server weiterleiten.Beispielsweise können Web-Proxys dieX-Forwarded-ForHeaderfür jeden verarbeiteten HTTP-Datenverkehr, wobei der Header die IP-Adresse(n) der Client-Rechner enthält, an die der Datenverkehr weitergeleitet wird. (Dies können die Adressen des ursprünglich anfordernden Clients, nachgelagerter Proxys oder beide sein.)