Estou configurando um sistema composto de servidores de aplicativos e bancos de dados, todos executados em uma LAN privada. Os servidores de aplicação são acessados através do servidor proxy reverso HTTP Nginx e os servidores de banco de dados são acessados através do TCP HAproxy. Tanto o Nginx quanto o HAproxy estão rodando no mesmo host Ubuntu.
Os servidores de aplicativos e bancos de dados precisam se conectar à Internet para atualizações de software e instalação a partir de repositórios.
A única máquina que pode se conectar à Internet é aquela que funciona como host do servidor proxy. Possui duas NICs, uma para IP público e outra para IP privado. Este mesmo servidor proxy também executa o firewall UFW para proteger a instalação contra ameaças externas.
Eu sei muito bem como configurar o Nginx e o HAproxy para recursos de proxy. Sei configurar o firewall UFW para filtragem de aplicações e tambémconfigurando para conexões NAT.
O enigma é como isolar as conexões destinadas a aplicativos proxy daquelas que buscam conexões de Internet originadas do segmento privado. O firewall não bloqueará as conexões NAT ou as conexões proxy não serão roteadas?
Como combino a função NAT com as funções de proxy sem interferência?