Mi objetivo es permitir que los clientes a través de Internet se conecten a un servidor proxy de Squid, proporcionen un nombre de usuario y contraseña y luego accedan a varios servidores http en la red interna de la que forma parte el servidor, utilizando direcciones IP como 192.168.11.152. Actualmente, el acceso a estos servidores se maneja a través de un conjunto de puertos NAT reenviados desde el puerto interno 80 en alguna IP, a un puerto externo no estándar. Esto requiere que las personas recuerden que se accede al dispositivo con IP 192.168.11.152 a través de http://example.com:8936, y no es lo ideal. Además, muchos de los dispositivos no admiten nombres de usuario ni contraseñas, por lo que dependo de la seguridad a través de la oscuridad. No quiero usar una VPN porque el único tráfico que quiero permitir que ingrese a la red desde el exterior es el tráfico HTTP y HTTPS. No puedo modificar los servidores HTTP en ninguno de mis dispositivos, ya que todos son sistemas integrados (interruptores de alimentación, cámaras de seguridad, dispositivos de señalización, etc.). He buscado guías sobre cómo configurar servidores proxy squid en Debian, pero todas tratan sobre la configuración de servidores proxy anónimos, no admiten nombres de usuario ni contraseñas y permiten conexiones proxy a recursos externos. Una vez conectado al proxy, el único tráfico que debe reenviar es el tráfico a las direcciones 192.168.11.xxx. Entonces, mis preguntas:
- ¿Es esto siquiera posible? Según mis búsquedas en Google, nadie está haciendo esto, ¿y tal vez sea porque no se puede hacer?
- ¿Es esta una buena idea? Si no es así, ¿hay otros mejores que sean más seguros y aún cumplan con mis requisitos?
- ¿Dónde empiezo? Todas las guías en línea solo ofrecen archivos de configuración para cortar y pegar, sin explicar nada, por lo que realmente no puedo modificarlos para mis propósitos. Las páginas de manual son lo suficientemente oscuras como para necesitar saber lo que quiero antes de encontrar información al respecto. ¿Hay algún buen libro/conjunto de tutoriales en algún lugar que me perdí?
Me doy cuenta de que una respuesta completa a esta pregunta llevaría más tiempo del que cualquiera que no sea yo puede dedicar a esto. Aceptaré una respuesta que analice brevemente los 3 puntos anteriores y venga con referencias detalladas.
Respuesta1
Existe una excelente alternativa si sus usuarios tienen acceso SSH a la red.
Usando por ejemplo
ssh -D9090
abren un puerto proxy SOCKS en su respectiva máquina local. Luego pueden proceder a acceder a cualquier destino en la red local del servidor SSH a través de este proxy SOCKS.
Esto puede resultar especialmente útil utilizando Firefox con una extensión comoproxy astuto, en el que puede definir una lista blanca (por ejemplo, http://192.168.11.*/más https) para que las respectivas IP (y solo esas) sean visitadas a través del proxy.