форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как можно попасть с Инета  на внутренний сайт, но не проброс..."

Сообщение от sergio22 (ok) on 25-Май-07, 13:36

Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid и iptables. Но использовать проброс портов используя iptables нельзя, потому как есть вероятность в случае взлома этого web сервера (это IIS на windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже нет, так повелось. Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее и на WAN интерфейсе), но Internet Explorer не позволяет выставить две прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, но может кто-то поправит. Вообщем как-то можно решать такую задачу?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."

Сообщение от DN (ok) on 25-Май-07, 13:48

>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него >с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid >и iptables. Но использовать проброс портов используя iptables нельзя, потому как >есть вероятность в случае взлома этого web сервера (это IIS на >windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети >и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже >нет, так повелось. >Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее >и на WAN интерфейсе), но Internet Explorer не позволяет выставить две >прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать >что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, >но может кто-то поправит. Вообщем как-то можно решать такую задачу? Transparent WWW Proxy должен подойти в вашем случае. Как вариант для FreeBSD и CISCO : http://www.lexa.ru/articles/transparent-proxy.html По аналогии найдете статьи и для LINUX. Хотя для вашего случая можно и не transparent, а принудительный прокси для клиентов из вне.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."
	Сообщение от sergio22 (ok) on 25-Май-07, 13:58
	>>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него >>с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid >>и iptables. Но использовать проброс портов используя iptables нельзя, потому как >>есть вероятность в случае взлома этого web сервера (это IIS на >>windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети >>и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже >>нет, так повелось. >>Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее >>и на WAN интерфейсе), но Internet Explorer не позволяет выставить две >>прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать >>что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, >>но может кто-то поправит. Вообщем как-то можно решать такую задачу? > > >Transparent WWW Proxy должен подойти в вашем случае. >Как вариант для FreeBSD и CISCO : >http://www.lexa.ru/articles/transparent-proxy.html > >По аналогии найдете статьи и для LINUX. >Хотя для вашего случая можно и не transparent, а принудительный прокси для > >клиентов из вне. поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему web серверу 192.168.10.10 и для это веб сервера запрос будет виден как от клиента с адресом 192.168.1.1 ?????
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."
	Сообщение от DN (ok) on 25-Май-07, 14:06
	>>Transparent WWW Proxy должен подойти в вашем случае. >>Как вариант для FreeBSD и CISCO : >>http://www.lexa.ru/articles/transparent-proxy.html >> >>По аналогии найдете статьи и для LINUX. >>Хотя для вашего случая можно и не transparent, а принудительный прокси для >> >>клиентов из вне. > >поправте если я не правильно понял. Прокси сервер стоящий на марштуизаторе с >интерфейсом WAN (Internet) и LAN (192.168.10.1) может сделать запрос к внутреннему >web серверу 192.168.10.10 и для это веб сервера запрос будет виден >как от клиента с адресом 192.168.1.1 ????? Что за адрес 192.168.1.1, что имеется ввиду? Для web сервера (192.168.10.10) прокси сервер (192.168.10.1) будет являтся клиентом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."
	Сообщение от sergio22 (ok) on 25-Май-07, 14:08
	>>Transparent WWW Proxy должен подойти в вашем случае. >>Как вариант для FreeBSD и CISCO : >>http://www.lexa.ru/articles/transparent-proxy.html >> >>По аналогии найдете статьи и для LINUX. >>Хотя для вашего случая можно и не transparent, а принудительный прокси для >> >>клиентов из вне. Может я не так описал, но поправлю еще раз есть gw у которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10. И нужно что бы пользователь из Инета набрав в своем Internet Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие на web сервер, были от  внтуреннгое адреса прокси, а не от пользователя из Инета.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."
	Сообщение от DN (ok) on 25-Май-07, 14:24
	>>>Transparent WWW Proxy должен подойти в вашем случае. >>>Как вариант для FreeBSD и CISCO : >>>http://www.lexa.ru/articles/transparent-proxy.html >>> >>>По аналогии найдете статьи и для LINUX. >>>Хотя для вашего случая можно и не transparent, а принудительный прокси для >>> >>>клиентов из вне. >Может я не так описал, но поправлю еще раз есть gw у >которого wan(80.80.80.80) и LAN (192.168.10.1) в локале стоит WEB сервер 192.168.10.10. >И нужно что бы пользователь из Инета набрав в своем Internet >Explorer-е http://80.80.80.80:1234 попал на web сервер 192.168.10.10,но не пробросом портов. Потому >как элементраным telnet 80.80.80.80 1234 мы так же получаем коннект на >web сервер в локальной сети.Т.е. хотелось бы, что бы это запрос >делал squid (стоящий на gw) во внутренюю сеть и пакеты приходящие >на web сервер, были от  внтуреннгое адреса прокси, а не >от пользователя из Инета. Да, это все возможно. Вам просто надо адаптировать схему   http://www.lexa.ru/articles/transparent-proxy.html  для вашего случая. Удачи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как можно попасть с Инета  на внутренний сайт, но не проброс..."

Сообщение от GloryS (??) on 26-Май-07, 15:55

>Попробую описать задачу. Есть внутрений web-сервер и стоит задача попасть на него >с Инета. Шлюзом в Инет стоит RedHat, на ней стоит squid >и iptables. Но использовать проброс портов используя iptables нельзя, потому как >есть вероятность в случае взлома этого web сервера (это IIS на >windows), злоумышлиник получит доступ к windows машине, стоящей в локальной сети >и соответсвенно ко всей сетке. Возможности перенести ее в DMZ тоже >нет, так повелось. >Сперва пришла мысль, что бы из Инета подключались используя проксю squid(открыв ее >и на WAN интерфейсе), но Internet Explorer не позволяет выставить две >прокси-сервера (у клиентов, как правило есть свои прокси серверы), или указать >что для такого адреса используй такой-то прокси сервер. Коряво как-то сформулировал, >но может кто-то поправит. Вообщем как-то можно решать такую задачу? Можно просто поставить nginx (http://sysoev.ru/nginx) в доках смотреть proxy_pass http://sysoev.ru/nginx/docs/http/ngx_http_proxy_module.html#proxy_pass кстати в таком контексте еще и в скорости можно выиграть)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]