Estou tendo alguns problemas que acho que normalmente não deveria enfrentar. Mas depois de ficar sem sentido com isso, estou chamando o tio.
Já postei algo nesse sentido aqui: (Clicável)
Agora, estou procurando alguma resposta para o meu problema
Temos uma rede da seguinte forma:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
A WAN tem um IP e como somos uma sociedade da Cruz Vermelha, não temos dinheiro porque na verdade somos um caso de caridade e não podemos nos dar ao luxo de obter mais IPs (eles custam muito dinheiro aqui na Jordânia)
Portanto, o acesso a todos os serviços dentro do firewall é obrigatório.
Aqui está a parte engraçada. Sou um desenvolvedor que teve que assumir o cargo de administrador.
Eu tentei as acls anteriores no link acima e mesmo com mais acls, tudo que consigo é uma rota para o servidor web na DMZ; mesmo que eu esteja tentando acessar o DVR que está na sub-rede LAN e o DNS resolva corretamente.
Claro, fica mais complicado porque existem outros serviços que precisam do envolvimento do SSL (especificamente, exchange\owa).
Então, vim até vocês, meus amigos, arrastando os pés de joelhos, com o rosto machucado e a alma murchando, estendendo as mãos, pedindo uma resposta que espero que não destrua a(s) rede(s) ou minha alma.
Basicamente, estou tentando fazer com que o proxy reverso funcione na minha rede, de preferência com alterações mínimas, para que possamos usar nossos serviços no firewall do lado da web. Se isso puder ser feito com o squid (aquele do PFsense), então fantástico.
Muito obrigado por toda e qualquer resposta.
Responder1
- Coloque tudo o que precisa de acesso público no segmento “DMZ”. Essa é a segurança padrão.
- No PFsense, use o "Firewall: NAT: Port Forward" para atribuir WAN-IP:porta pública ao recurso na DMZ
Existem 65534 portas para escolher, embora algumas sejam mais padronizadas que outras, por exemplo, a porta 80 para HTTP.
Responder2
Não posso responder sobre o Squid, mas isso é feito facilmente usando Apache e mod_proxy. Não estou familiarizado com o pfsense, então não sei se você pode integrar o Apache a ele, mas se puder:
Basta configurar um site usando hosts virtuais para cada site interno que você hospeda. Em seguida, dentro do firewall pfsense, redirecione as solicitações do seu IP WAN na porta 80 para qualquer IP que você configurou para escutar o host virtual. Por exemplo, aqui está uma configuração santificada que estamos usando (aspas em vez de colchetes).
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
Em seguida, basta adicionar entradas apropriadas para os registros do host para que a resolução de nomes funcione para suas entradas de proxy reverso.