The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как можно попасть с Инета  на внутренний сайт, но не проброс..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от sergio22 email(ok) on 25-Май-07, 13:36 
Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid и iptables. Но использовать проброс портов используя iptables нельзя, потому как есть вероятность в случае взлома этого web сервера (это IIS на windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже нет, так повелось.
Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее и на WAN интерфейсе), но Internet Explorer не позволяет выставить две прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, но может кто-то поправит. Вообщем как-то можно решать такую задачу?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от DN (ok) on 25-Май-07, 13:48 
>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>есть вероятность в случае взлома этого web сервера (это IIS на
>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>нет, так повелось.
>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>но может кто-то поправит. Вообщем как-то можно решать такую задачу?


Transparent WWW Proxy должен подойти в вашем случае.
Как вариант для FreeBSD и CISCO :
http://www.lexa.ru/articles/transparent-proxy.html

По аналогии найдете статьи и для LINUX.
Хотя для вашего случая можно и не transparent, а принудительный прокси для
клиентов из вне.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от sergio22 email(ok) on 25-Май-07, 13:58 
>>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>>есть вероятность в случае взлома этого web сервера (это IIS на
>>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>>нет, так повелось.
>>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>>но может кто-то поправит. Вообщем как-то можно решать такую задачу?
>
>
>Transparent WWW Proxy должен подойти в вашем случае.
>Как вариант для FreeBSD и CISCO :
>http://www.lexa.ru/articles/transparent-proxy.html
>
>По аналогии найдете статьи и для LINUX.
>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>
>клиентов из вне.

поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему web серверу 192.168.10.10 и для это веб сервера запрос будет виден как от клиента с адресом 192.168.1.1 ?????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от DN (ok) on 25-Май-07, 14:06 

>>Transparent WWW Proxy должен подойти в вашем случае.
>>Как вариант для FreeBSD и CISCO :
>>http://www.lexa.ru/articles/transparent-proxy.html
>>
>>По аналогии найдете статьи и для LINUX.
>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>
>>клиентов из вне.
>
>поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с
>интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему
>web серверу 192.168.10.10 и для это веб сервера запрос будет виден
>как от клиента с адресом 192.168.1.1 ?????

Что за адрес 192.168.1.1, что имеется ввиду?

Для web сервера (192.168.10.10) прокси сервер (192.168.10.1) будет
являтся клиентом.  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от sergio22 email(ok) on 25-Май-07, 14:08 
>>Transparent WWW Proxy должен подойти в вашем случае.
>>Как вариант для FreeBSD и CISCO :
>>http://www.lexa.ru/articles/transparent-proxy.html
>>
>>По аналогии найдете статьи и для LINUX.
>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>
>>клиентов из вне.
Может я не так описал, но поправлю еще раз есть gw у которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10. И нужно что бы пользователь из Инета набрав в своем Internet Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие на web сервер, были от  внтуреннгое адреса прокси, а не от пользователя из Инета.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от DN (ok) on 25-Май-07, 14:24 
>>>Transparent WWW Proxy должен подойти в вашем случае.
>>>Как вариант для FreeBSD и CISCO :
>>>http://www.lexa.ru/articles/transparent-proxy.html
>>>
>>>По аналогии найдете статьи и для LINUX.
>>>Хотя для вашего случая можно и не transparent, а принудительный прокси для
>>>
>>>клиентов из вне.
>Может я не так описал, но поправлю еще раз есть gw у
>которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10.
>И нужно что бы пользователь из Инета набрав в своем Internet
>Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому
>как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на
>web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос
>делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие
>на web сервер, были от  внтуреннгое адреса прокси, а не
>от пользователя из Инета.

Да, это все возможно. Вам просто надо адаптировать схему  
http://www.lexa.ru/articles/transparent-proxy.html  для вашего случая.
Удачи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."  
Сообщение от GloryS (??) on 26-Май-07, 15:55 
>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него
>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid
>и iptables. Но использовать проброс портов используя iptables нельзя, потому как
>есть вероятность в случае взлома этого web сервера (это IIS на
>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети
>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже
>нет, так повелось.
>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее
>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две
>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать
>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал,
>но может кто-то поправит. Вообщем как-то можно решать такую задачу?


Можно просто поставить nginx (http://sysoev.ru/nginx)
в доках смотреть proxy_pass
http://sysoev.ru/nginx/docs/http/ngx_http_proxy_module.html#proxy_pass
кстати в таком контексте еще и в скорости можно
выиграть)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру