- У меня есть промышленная машина. Поставщик добавил промышленный VPN-бокс (устройство A ниже) и настроил все устройства в локальной сети на использование его в качестве шлюза.
- Поставщик крайне обеспокоен безопасностью и не будет устанавливать (если это возможно) правила NAT, чтобы позволить мне общаться с устройствами в локальной сети машины. Это не позволяет мне собирать данные о машине, а также оказывать удаленную поддержку из офиса или из дома.
Какова правильная терминология или название для устройства B, которое будет включать в себя:
- Порт WAN и LAN.
- Возможность установки нескольких адресов WAN и привязки или пересылки запросов на эти адреса к определенным адресам LAN.
- Сделайте так, чтобы запросы отображались как локальные, чтобы ответ не требовал использования шлюза (что приведет к отправке ответа в неправильном направлении).
Это класс обратного прокси? Я предполагаю, что эта проблема уже решалась много раз и что конфигурация Linux могла бы помочь. Какие поисковые термины мне следует использовать?
Большое спасибо.
решение1
а)Это действительно звучит очень похоже на обычноемаршрутизатор(он же шлюз). Все перечисленные вами функции — это обычный NAT (SNAT и DNAT), на который обычно способны маршрутизаторы.
Например, 2-й пункт — это обычный DNAT (он же «переадресация портов»), только с более конкретными параметрами сопоставления — вам нужен маршрутизатор, который позволяет сопоставление по «внешнему IP» в правилах DNAT, что многие и делают. Аналогично, 3-й пункт — это тот же тип SNAT (он же «маскарадинг»), который многие маршрутизаторы уже делают на интерфейсе WAN, только в вашем случае это делается на выходе из интерфейса LAN.
Поэтому главное, на что следует обратить внимание, — достаточно ли гибка прошивка маршрутизатора, т.е. то, что вам нужно, этонетконкретный тип маршрутизатора «домашний/офисный беспроводной», который предполагает фиксированный вариант использования, но более общий «корпоративный маршрутизатор», который позволяет вам создавать его поведение с нуля. (Я не знаю, является ли это на самом деле правильным термином — он не обязательно должен быть корпоративным по цене, конечно — но на самом деле проблема в том, что онявляется(Просто обычный маршрутизатор. Иногда может подойти и «корпоративный брандмауэр»).
В качестве конкретного примера, устройства с RouterOS или OpenWRT должны иметь необходимые возможности. Компьютер с двумя портами Ethernet, работающий под управлением ОС, способной выполнять маршрутизацию и NAT (например, любой Linux с nftables/iptables или какой-либо вариант BSD спф) также отлично справится с этой задачей.
б)При этом, все может бытьтакжеможно сделать с помощью «обратного прокси-сервера», главное отличие в том, что прокси-серверы работают на более высоких уровнях, например, вместо необработанных IP-пакетов они имеют дело с TCP-соединениями или даже отдельными HTTP-запросами, поэтому вам нужно выбрать его в зависимости от того, какой тип коммуникаций вы будете осуществлять.
Но это на самом деле означает, что ваша третья функция «встроена» во все обратные прокси-серверы, поскольку внутри прокси-сервер будет устанавливать совершенно новое соединение со своего собственного адреса локальной сети – вместо этого,сохранениес исходным адресом будет сложнее.
Обратные прокси-серверы также в некоторой степени пересекаются с «балансировщиками нагрузки» (многие рекламируют себя как оба). Они не обязательно являются специализированными устройствами или приборами, обычно это просто программное обеспечение, работающее на общем компьютере, например, Nginx, HAproxy или relayd.
Итак, если все ваши запросы основаны на HTTP, то подойдет обратный HTTP-прокси (он даже может добавить HTTPS на стороне WAN, продолжая при этом передавать открытый HTTP-трафик внутри), но многие прокси/балансировщики также могут работать с сырым TCP. (Я думаю, что общая поддержка UDP менее распространена, но не отсутствует.)
В обоих случаях, я думаю, что "WAN и LAN порты" не совсем то, что вы ищете. Я бы сказал совсем наоборот – корпоративный маршрутизатор, которыйне делаетналичие таких предопределенных портов (и наличие только Ethernet1, Ethernet2 и т. д.) с большей вероятностью будет достаточно гибким для ваших целей, чем маршрутизатор, который это делает.