У меня есть некоторые проблемы, с которыми, как мне кажется, я не должен сталкиваться в обычной жизни. Но после того, как меня избили до бесчувствия, я зову дядю.
Я уже публиковал что-то подобное здесь: (Щелчок)
Теперь я ищу любой ответ на мою проблему.
У нас есть следующая сеть:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
У WAN есть один IP-адрес, и поскольку мы являемся обществом Красного Креста, у нас нет денег, поскольку, по сути, мы являемся благотворительной организацией, и мы не можем позволить себе получить больше IP-адресов (они стоят немалых денег здесь, в Иордании).
Поэтому доступ ко всем службам внутри брандмауэра является обязательным.
А вот и забавная часть. Я разработчик, которому пришлось взять на себя роль администратора.
Я пробовал предыдущие списки контроля доступа по ссылке выше, и даже с большим количеством списков контроля доступа все, что я могу получить, это маршрут к веб-серверу в DMZ; хотя я пытаюсь получить доступ к DVR, который находится в подсети LAN, и DNS разрешает его правильно.
Конечно, все становится сложнее, поскольку есть и другие сервисы, которым необходимо участие ssl (в частности, exchange\owa).
Итак, я пришел к вам, друзья мои, волоча ноги на коленях, с разбитым лицом и увядшей душой, протягивая руки, прося ответа, который, я надеюсь, не разрушит сеть(и) или мою душу.
В принципе, я пытаюсь заставить работать обратный прокси в моей сети, желательно с минимальными изменениями, чтобы мы могли использовать наши сервисы с веб-стороны брандмауэра. Если это можно сделать с помощью squid (того, что на PFsense), то это фантастика.
Большое спасибо за все ответы.
решение1
- Все, что требует публичного доступа, поместите в сегмент "DMZ". Это стандартная безопасность.
- В PFsense используйте «Firewall: NAT: Port Forward», чтобы назначить публичный WAN-IP:port ресурсу в DMZ.
На выбор доступно 65534 порта, хотя некоторые из них более стандартны, чем другие, например порт 80 для HTTP.
решение2
Я не могу ответить относительно Squid, но это легко сделать с помощью Apache и mod_proxy. Я не знаком с pfsense, поэтому не знаю, можно ли интегрировать Apache с ним, но если можно:
Просто настройте сайт, используя виртуальные хосты для каждого внутреннего сайта, который вы размещаете. Затем в брандмауэре pfsense перенаправьте запросы для вашего WAN IP на порту 80 на любой IP, который вы установили для прослушивания виртуального хоста. Например, вот santized конфигурация, которую мы используем (кавычки вместо скобок тега).
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
Затем просто добавьте соответствующие записи для записей хоста, чтобы разрешение имен работало для записей обратного прокси-сервера.