如果我設定代理,進入代理和傳出互聯網的流量是否具有客戶端的來源 IP 位址或代理的 IP 位址?
我需要設置一個網絡,以便代理無法被繞過。我認為如果流量源自代理,這樣可以拒絕網路上客戶端的直接訪問,那就更好了。
如果代理資料保留其來源 IP 位址,是否有任何方法可以阻止繞過代理?
答案1
代理是一個中介。您的網關以及用戶端存取的外部資源的主機將觀察來自代理程式而不是原始客戶端的 IP 流量。
如果必須使用代理,您可以並且應該在出口點配置封包過濾器,以允許來自代理的流量,同時拒絕其他用戶端的任何直接存取嘗試。您可能希望將代理程式放置在自己的網段中,以避免使用 IP 欺騙或資料層中毒繞過代理的風險。
這種安排並不排除代理包含指示該請求已轉送給另一個客戶端的資訊。當您的下游用戶端透過代理伺服器傳遞流量時,它們不會自動匿名。例如,網路代理程式可能會新增X-Forwarded-For標頭任何已處理的 HTTP 流量,其中標頭包含轉送流量的客戶端電腦的 IP 位址。 (這些可能是原始請求客戶端、下游代理或兩者的位址。)