Comment on page
Обратный прокси
Публикация веб-ресурсов локальной сети таким образом, чтобы они стали доступны потребителям из сети Интернет.
Название службы раздела Обратный прокси:
ideco-reverse-backend.
Список служб для других разделов доступен по ссылке.Технология обратного прокси позволяет проксировать веб-трафик из сети Интернет в локальную сеть. Отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) и позволяет более гибко реализовать публикацию ресурсов.
Основной параметр при публикации веб-ресурса - Запрашиваемый адрес в Интернете. Из внешней сети по протоколу HTTP и URL будет произведено обращение на UTM. Обратный прокси позволяет смаршрутизировать такой запрос на HTTP-сервер в локальной сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса UTM, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL. Если же с внешним IP-адресом UTM ассоциировано несколько A-записей, то маршрутизация становится еще более простой, а входящие URL - более удобными для посетителей ресурсов.
Настройка сертификатов для публикуемых ресурсов не требует их ручной загрузки. Сейчас Ideco UTM сам отправляет запрос на выпуск сертификата Let's Encrypt. Выпуск сертификата может занять до 20 минут. Выпущенные сертификаты будут доступны в разделе Сертификаты.
Для создания правила перейдите в раздел Сервисы -> Обратный прокси и нажмите на кнопку Добавить. Форма добавления правила разделена на два подраздела: Основные настройки, Адреса web-серверов для балансировки запросов между ними и Дополнительные настройки.
- Запрашиваемый адрес в Интернете - введите IP-адрес, доменное имя или URL, который будет запрашиваться пользователями. Для добавления дополнительных адресов нажмите кнопку Добавить адрес;
- Адрес в локальной сети - введите IP-адрес из локальной сети, на который будут перенаправляться пользователи.
Если указать в строке Запрашиваемый адрес в Интернете 0.0.0.0- перенаправление будет работа�ть со всех внешних IP-адресов на адрес из строки Адрес локальной сети.
Если указать любой IP, не принадлежащий внешнему интерфейсу UTM, то такое перенаправление будет работать аналогично 0.0.0.0.
- Протокол - выбранный протокол используется для всех адресов в правиле;
- Адрес web-сервера в локальной сети - Адрес, на который будут перенаправлены запросы;
- Путь - Поле необязательное и используется для всех адресов.
- Функция Перенаправлять HTTP запросы на HTTPS используется в случае, если ваш сайт работает только по протоколу HTTPS, но при этом вы не хотите терять посетителей, обратившихся к вашему сайту по HTTP;
- Функция Web Application Firewall позволяет защитить опубликованные ресурсы с помощью Ideco UTM от различного вида атак (включая атаки SQLi, XSS, DoS и другие);
- При включении функции Передавать web-серверу реальный IP-адрес клиента публичный IP-адрес клиента при обратном проксировании не заменяется на адрес UTM.
Web Application Firewall (WAF) анализирует запросы к сайту и блокирует атаки на уязвимые компоненты веб-приложения (в частности типы атак, входящие в OWASP TOP-10). При активации данного модуля также будут блокироваться злоумышленники, ведущие сканирование сайта на уязвимости, с помощью модуля защиты от brute force атак.
Не рекомендуем использовать проброс веб-интерфейса UTM через WAF, так как при попытке входа пользователь может быть заблокирован средствами WAF.
- Поле Тип публикации позволяет выбрать один из типов: Стандартный и Outlook Web Access. Тип Outlook Web Access используется для публикации Microsoft Exchange.
В полях Запрашиваемый адрес в Интернете и Адрес в локальной сети для типа Outlook Web Access укажите только домены
https://youdomain/ без остальной части URL (она не используется при публикации этим способом).При публикации Outlook Web Access не включайте Web Application Firewall. Их совместная работа будет возможна в следующих версиях.
Если у вас имеется доверенный SSL сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, то его можно загрузить в раздел Сервисы -> Сертификаты с помощью кнопки Добавить.
Доменные имена, указываемые в поле Запрашиваемый адрес в Интернете, должны резолвиться во внешний IP-адрес сервера UTM. Доменные имена, указываемые в поле Адрес в локальной сети, должны резолвиться в IP-адреса публикуемых ресурсов самим сервером UTM.
Публикация CMS
На данный момент нами протестирована и официально поддерживается публикация сайтов на двух популярных CMS: Joomla и Wordpress. Подробности публикации каждой CMS описаны ниже.
Joomla в текущей реализации публикуется, если настроить перенаправление с внешнего домена на локальный домен без префикса:
- Ассоциировать с внешним адресом UTM дополнительное доменное имя специально для публикации Joomla:
joomla.mydomain.ru; - Настроить правило публикации
joomla.mydomain.ru->joomla.local:port(порт не обязателен).
WordPress в текущей реализации публикуется только в конфигурации, когда в wordpress и в обратном прокси настроен один и тот же домен:
- Для домена компании добавить A-запись
wordpress.mydomain.ru, указывающую на внешний IP-адрес UTM; - На локальном сервере, в админ-панели wordpress должен быть настроен домен
wordpress.mydomain.ruна стандартном порту HTTP; - Добавить в обратный прокси правило публикации
wordpress.mydomain.ru->wordpress.mydomain.ru.
Last modified 4mo ago