Meu objetivo é permitir que clientes pela internet se conectem a um servidor proxy squid, forneçam nome de usuário e senha e então acessem diversos servidores http na rede interna da qual o servidor faz parte, usando endereços IP como 192.168.11.152. Atualmente, o acesso a esses servidores é feito por meio de uma confusão de encaminhamentos de porta NAT da porta interna 80 em algum IP para uma porta externa fora do padrão. Isso exige que as pessoas lembrem que o dispositivo com IP 192.168.11.152 é acessado via http://example.com:8936 e não é o ideal. Além disso, muitos dos dispositivos não suportam nomes de usuário e senhas, por isso dependo da segurança através da obscuridade. Não quero usar uma VPN, porque o único tráfego externo que desejo permitir na rede é o tráfego HTTP e HTTPS. Não consigo modificar os servidores HTTP em nenhum dos meus dispositivos, pois todos são sistemas embarcados (interruptores, câmeras de segurança, dispositivos de sinalização, etc.). Procurei guias sobre como configurar servidores proxy squid no Debian, mas eles tratam de configurar proxies anônimos, não suportam nomes de usuário e senhas e permitem conexões proxy com recursos externos. Uma vez conectado ao proxy, o único tráfego que ele deve encaminhar é o tráfego para endereços 192.168.11.xxx. Então, minhas perguntas:
- Isso é possível? Com base nas minhas pesquisas no Google, ninguém está fazendo isso, e talvez seja porque não pode ser feito?
- isso é uma boa ideia? Caso contrário, existem outros melhores que sejam mais seguros e ainda atendam aos meus requisitos?
- Por onde eu começo? Todos os guias on-line apenas fornecem arquivos de configuração recortados e colados, sem explicar nada, por isso não posso modificá-los de acordo com meus propósitos. As páginas de manual são obscuras o suficiente para que eu já precise saber o que quero antes de encontrar informações sobre isso. Existe um bom livro/conjunto de tutoriais em algum lugar que eu perdi?
Sei que uma resposta completa a essa pergunta levaria mais tempo do que qualquer pessoa que não seja eu pode gastar nisso. Aceitarei uma resposta que discuta brevemente os três pontos acima e venha com referências detalhadas.
Responder1
Existe uma excelente alternativa se seus usuários tiverem acesso SSH à rede.
Usando, por exemplo
ssh -D9090
eles abrem uma porta proxy SOCKS em suas respectivas máquinas locais. Eles podem então acessar qualquer destino na rede local do servidor SSH por meio deste proxy SOCKS.
Isso pode ser especialmente útil usando o Firefox com uma extensão comoProxy Foxy, onde você pode definir uma lista de permissões (por exemplo, http://192.168.11.*/mais https) para que os respectivos IPs (e somente esses) sejam visitados através do proxy.