我遇到了一些我認為通常不應該面對的問題。但被打昏了之後,我就喊叔叔了。
我之前曾在這裡發布過類似的內容:(咔嗒聲)
現在,我正在尋找我的問題的答案
我們有一個網路如下:
__________ DMZ (10.0.0.0/24)
|
WAN ----- PFsense ---------- LAN (192.168.1.0/22)
|
|_________ Wireless (172.169.50/24)
WAN 有一個 IP,由於我們是紅十字會,所以我們沒有錢,因為事實上我們是一個慈善機構,我們無法購買更多 IP(在約旦,它們花費了相當多的錢)
因此必須存取防火牆內部的所有服務。
這是有趣的部分。我是一名必須承擔管理員職責的開發人員。
我已經嘗試過上面連結中的先前的 acl,即使有更多的 acl,我所能得到的只是通往 DMZ 上的網路伺服器的路由;即使我嘗試存取位於 LAN 子網路上的 DVR,並且 DNS 可以正確解析它。
當然,它會變得更加複雜,因為還有其他服務需要 ssl 的參與(具體來說,exchange\owa)。
所以,我來到你們身邊,我的朋友們,我拖著膝蓋拖著腳步,面容受傷,靈魂枯萎,伸出雙手,尋求一個答案,我希望這個答案不會摧毀網絡或我的靈魂。
基本上,我正在嘗試讓反向代理在我的網路上工作,最好進行最小的更改,以便我們可以從防火牆的網路端使用我們的服務。如果可以用魷魚(PFsense 上的那個)來完成,那就太好了。
非常感謝您的任何和所有答案。
答案1
- 將任何需要公共存取的內容放在「DMZ」段上。這是標準的安全性。
- 在 PFsense 中,使用「防火牆:NAT:連接埠轉送」將公共 WAN-IP:連接埠指派給 DMZ 上的資源
有 65534 個連接埠可供選擇,儘管有些連接埠比其他連接埠更標準,例如用於 HTTP 的連接埠 80。
答案2
我無法回答有關 Squid 的問題,但這可以使用 Apache 和 mod_proxy 輕鬆完成。我對 pfsense 不熟悉,所以我不知道你是否可以將 Apache 與它集成,但如果可以:
只需使用虛擬主機為您託管的每個內部網站設定一個網站。然後,在 pfsense 防火牆內,將對連接埠 80 上的 WAN IP 的請求重新導向至您設定為偵聽虛擬主機的任何 IP。例如,這是我們正在使用的一個經過淨化的配置(引號而不是標籤括號)。
NameVirtualHost 192.168.3.17:80
NameVirtualHost 192.168.3.17:443
Listen 80
Listen 443
#####Exchange Configuration#####
"VirtualHost 192.168.3.17:80"
ServerName mail.domain.com:80
ProxyPass https://mail.domain.com/
ProxyPassReverse https://mail.domain.com/
SSLRequireSSL
"/VirtualHost"
##### Wiki Configuration #####
"VirtualHost 192.168.3.17:80"
ServerName wiki.domain.com:80
ProxyPass / http://wiki.domain.com/
ProxyPassReverse / http://wiki.domain.com/
"/VirtualHost"
然後,只需為主機記錄新增適當的條目,以便名稱解析適用於您的反向代理條目。