평소에는 겪지 말아야 할 몇 가지 문제가 있습니다. 그런데 이것 때문에 멍하니 있다가 삼촌을 불러요.
나는 이전에 여기에 다음과 같은 내용을 게시한 적이 있습니다.클릭감)
이제 나는 내 문제에 대한 답을 찾고 있습니다.
우리는 다음과 같은 네트워크를 가지고 있습니다:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
WAN에는 하나의 IP가 있고 우리는 적십자사이기 때문에 돈이 없습니다. 사실 우리는 자선 단체이기 때문에 더 많은 IP를 얻을 여유가 없습니다(여기 요르단에서는 비용이 꽤 듭니다).
따라서 방화벽 내부의 모든 서비스에 대한 액세스는 필수입니다.
여기 재미있는 부분이 있습니다. 저는 관리자 역할을 맡아야 했던 개발자입니다.
위 링크에서 이전 acl을 시도했고 더 많은 acl을 사용해도 얻을 수 있는 것은 DMZ의 웹 서버에 대한 경로뿐입니다. LAN 서브넷에 있는 DVR에 액세스하려고 하는데 DNS가 이를 올바르게 확인합니다.
물론 SSL의 개입이 필요한 다른 서비스(구체적으로 exchange\owa)가 있으므로 더 복잡해집니다.
그래서 나는 무릎을 꿇고 얼굴을 구타당하고 영혼이 시들고 손을 뻗어 네트워크나 내 영혼을 파괴하지 않기를 바라는 대답을 구하면서 친구들에게 왔습니다.
기본적으로 저는 가능한 한 최소한의 변경으로 네트워크에서 역방향 프록시가 작동하도록 하여 웹 측 방화벽에서 서비스를 사용할 수 있도록 노력하고 있습니다. 오징어(PFsense에 있는 것)로 할 수 있다면 환상적입니다.
모든 답변에 감사드립니다.
답변1
- 공개 액세스가 필요한 모든 항목을 "DMZ" 세그먼트에 배치합니다. 이것이 바로 표준 보안입니다.
- PFsense에서 "방화벽: NAT: 포트 전달"을 사용하여 공용 WAN-IP:포트를 DMZ의 리소스에 할당합니다.
선택할 수 있는 포트는 65534개이지만 일부는 HTTP용 포트 80과 같이 다른 것보다 더 표준적입니다.
답변2
Squid에 대해서는 답변할 수 없지만 Apache와 mod_proxy를 사용하면 쉽게 수행할 수 있습니다. 저는 pfsense에 익숙하지 않기 때문에 Apache를 통합할 수 있는지는 모르겠지만 가능하다면 다음을 수행하십시오.
호스팅하는 각 내부 사이트에 대해 가상 호스트를 사용하여 사이트를 설정하기만 하면 됩니다. 그런 다음 pfsense 방화벽 내에서 포트 80의 WAN IP에 대한 요청을 가상 호스트를 수신하도록 설정한 IP로 리디렉션합니다. 예를 들어, 다음은 우리가 사용하고 있는 정리된 구성입니다(태그 대괄호 대신 따옴표).
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
그런 다음 역방향 프록시 항목에 대해 이름 확인이 작동하도록 호스트 레코드에 대한 적절한 항목을 추가하기만 하면 됩니다.