Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте.

 

Нужна ми е малко помощ за да успея да осмисля следната задача.

Нещо не се получава крайния резултат, или аз не разбирам правилно.

 

Proxy Infrastructure

За тази задача ще са необходими два сървъра с Centos7. Main сървърът ще служи за хостване на приложение на PHP, което ще бъде проксирано през прокси сървъра (inbound & outbound).

Изисквания за main сървъра (142.93.160.15)

    Да има инсталиран nginx с PHP

    Да не може да получава рекуести, които не са проксирани през proxy сървъра

    Да не може да изпраща рекуести, които не са проксирани през proxy сървъра

    Приложението да се зарежда на домейни от типа server.*

    Приложението трябва да вижда истинското айпи на клиента в X-Forwarded-For header


Изисквания за proxy сървъра (134.209.229.124)

    Да има инсталиран nginx, който да служи за reverse proxy на inbound трафика към PHP приложението

    Да има инсталиран squid

    Squid да приема рекуести само от main сървъра

    Nginx да приема рекуести само от домейн server.perspecta-soft.com


Бележки

    server.**************.com е в cloudflare и ще ползва flexible SSL сертификат

    Nginx трябва да бъде конфигуриран да чете истинското айпи на клиента, вместо да се вижда айпито на cloudflare

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Хмм, какво по-точно не ти е ясно?
Аз имам малък коментар обаче в тоя setup. Реално сървъра ти изобщо не трябва да се вижда публинчо ( говоря за 142.93.160.15 ). Според мен трябва да е зад NAT,
На другата машина (134.209.229.124) - слагаш два интерфейса, единия ти обслужва 134.209.229.124 - там е bind-нат Nginx-a, а другия е private и има рутиране до мрежата на машината с PHP сървъра.
Реално каква ти е файдата от този squid? - за какво по-точно мислиш да го ползваш? Публичния ти Nginx си се явява reverse proxy и поне аз от този squid не виждам никаква файда.
Иначе за IP-то на клиента - cloudflare ти дава "X-Forwarded-For" хедър, който просто трябва да pass-неш от reverse proxy-то ти, към origina.

Откъм security, просто вдигни един firewall (може iptables/nftables/firewalld etc. или хардуерен, ако имаш пред машината ) - позволяваш само cloudflare IP-тата ( 
https://www.cloudflare.com/ips/ ) + някакво твое IP за достъп, ако ти трявба. И реално задачата ти е изпълнена.

Възможно е нещо аз да не съм разбрал по топологията. Ако нещо не ти е ясно питай по-конкретно

п.с. За сертификата на cloudflare - теглиш си техния сертификат през админ панела и просто го добавяш на Ingress Nginx-a ти

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Мисля че за сега се оправих.

Такова е заданието, изходящия трафик на php приложението да минава през squid, а входящия през nginx reverse proxy.Иначе аз лично не бих го направил така.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 2 минути, Росен Р. Александров написа:

Мисля че за сега се оправих.

Такова е заданието, изходящия трафик на php приложението да минава през squid, а входящия през nginx reverse proxy.Иначе аз лично не бих го направил така.

Хммм много тъпо ми изглежда на мен тази постановка ... ти иначе squid-a лесно ще го сетнеш за прокси, ама какво правиш с ssl-a, или ще пращаш некриптиран трафик на outbound-a на nginx-a и squid-a ще ти добавя tls-a?
Или тоя squid седи само да прекарва outbound трафика, за да е предвидим от къде идва? - ако е така по-добре NAT gateway-a да го оправи това

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Фирмени практики.

Изпратено от моят STK-LX1 с помощта на Tapatalk


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...