Tengo algunos problemas que creo que normalmente no debería enfrentar. Pero después de haber sido golpeado sin sentido por esto, llamo a mi tío.
Anteriormente publiqué algo similar a esto aquí: (Clic)
Ahora estoy buscando alguna respuesta a mi problema.
Contamos con una red de la siguiente manera:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
WAN tiene una IP y como somos una sociedad de la Cruz Roja, no tenemos dinero porque, de hecho, somos una organización benéfica y no podemos permitirnos el lujo de obtener más IP (cuestan bastante dinero aquí en Jordania).
Por lo tanto, el acceso a todos los servicios dentro del firewall es imprescindible.
Aquí está la parte divertida. Soy un desarrollador que tuvo que asumir el rol de administrador.
Probé las ACL anteriores en el enlace de arriba e incluso con más ACL, todo lo que puedo obtener es una ruta al servidor web en la DMZ; aunque estoy intentando acceder al DVR que está en la subred LAN y el DNS lo resuelve correctamente.
Por supuesto, se vuelve más complicado ya que hay otros servicios que necesitan la participación de SSL (específicamente, Exchange\owa).
Entonces, he acudido a ustedes, amigos míos, arrastrando los pies de rodillas, con el rostro golpeado y el alma marchita, extendiendo mis manos, pidiendo una respuesta que espero no destruya las redes ni mi alma.
Básicamente, estoy intentando que el proxy inverso funcione en mi red, preferiblemente con cambios mínimos, para que podamos usar nuestros servicios desde el lado web del firewall. Si se puede hacer con calamares (el de PFsense) pues fantástico.
Muchas gracias por todas y cada una de las respuestas.
Respuesta1
- Coloque todo lo que necesite acceso público en el segmento "DMZ". Esa es la seguridad estándar.
- En PFsense, utilice el "Firewall: NAT: Port Forward" para asignar WAN-IP: puerto público al recurso en la DMZ
Hay 65534 puertos para elegir, aunque algunos son más estándar que otros, por ejemplo el puerto 80 para HTTP.
Respuesta2
No puedo responder sobre Squid, pero esto se hace fácilmente usando Apache y mod_proxy. No estoy familiarizado con pfsense, así que no sé si puedes integrar Apache con él, pero si puedes:
Simplemente configure un sitio utilizando hosts virtuales para cada sitio interno que aloje. Luego, dentro del firewall pfsense, redirija las solicitudes de su IP WAN en el puerto 80 a cualquier IP que haya configurado para escuchar el host virtual. Por ejemplo, aquí hay una configuración santizada que estamos usando (comillas en lugar de corchetes de etiquetas).
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
Luego simplemente agregue las entradas apropiadas para los registros del host para que la resolución de nombres funcione para sus entradas de proxy inverso.