我的目標是允許網路上的用戶端連接到squid代理伺服器,提供使用者名稱和密碼,然後使用IP位址(例如192.168.11.152)存取該伺服器所屬的內部網路上的多個http伺服器。目前,對這些伺服器的存取是透過一堆 NAT 連接埠從某個 IP 的內部連接埠 80 轉送到非標準外部連接埠來處理的。這就需要人們記住,IP 192.168.11.152的設備是透過http://example.com:8936訪問的,並不理想。此外,許多設備不支援使用者名稱和密碼,因此我依靠默默無聞的安全性。我不想使用 VPN,因為我希望允許從外部進入網路的唯一流量是 HTTP 和 HTTPS 流量。我無法修改任何裝置上的 HTTP 伺服器,因為它們都是嵌入式系統(電源開關、安全攝影機、訊號設備等)。我搜尋了在 debian 上設定魷魚代理伺服器的指南,但它們都是關於設定匿名代理,不支援使用者名稱和密碼,並允許代理連接到外部資源。連接到代理程式後,它應該轉送的唯一流量是到 192.168.11.xxx 位址的流量。所以,我的問題是:
- 這可能嗎?根據我的谷歌搜索,沒有人這樣做,也許那是因為它無法完成?
- 這是個好主意嗎?如果沒有,有沒有更好的、更安全且仍能滿足我的要求的?
- 我從哪裡說起呢?所有線上指南都只是提供剪切和貼上配置文件,沒有解釋任何內容,所以我無法真正根據我的目的修改它們。手冊頁非常晦澀難懂,以至於在查找相關資訊之前我已經需要知道我想要什麼。有沒有我錯過的好書/教學?
我意識到要完整回答這個問題需要比我以外的任何人花更多的時間。我會接受一個簡單討論上述三點並附有詳細參考資料的答案。
答案1
如果您的用戶可以透過 SSH 存取網絡,那麼還有一個很好的選擇。
使用例如
ssh -D9090
他們在各自的本機電腦上開啟 SOCKS 代理連接埠。然後,他們可以透過此 SOCKS 代理繼續存取 SSH 伺服器本地網路上的任何目標。
使用 Firefox 和擴充功能可以使這變得特別方便,例如狡猾的代理,您可以在其中定義白名單(例如http://192.168.11.*/加上 https),以便透過代理程式存取對應的 IP(且僅這些 IP)。