Реверс прокси Nginx

dolphi · 20 май 2023

Друзья, добрый день!
Разрешите следующую дилемму. Топология кусочка сети приведена на картинке. Сеть разбита на зоны и изолирована от интернета файерволом. Правила хождения пакетов между зонами определяет файервол. Имеется реверс прокси Nginx, находящийся во внутренней зоне DMZ. Есть сервер Элма365, соответственно находящийся в своей зоне.

1. На файерволе по умолчанию все запрещено, кроме явных разрешений.
2. Есть правило DNAT для пересылки пакетов, приходящих из интернета на порты 80 и 443 на реверс прокси Nginx
3. Есть разрешающее правило на доступ по порту 80 от реверс прокси к серверу Элма
Следовательно: пакеты, приходящие на внешний адрес файервола по портам 80 и 443 с помощью правила DNAT пересылаются на Nginx, далее Nginx после преобразований, согласно рекомендаций из документации Элмы, пересылает пакет серверу Элма. Ну и далее ответ возвращается обратно таким же путем.
Сразу скажу, что через такую реализацию прокси, сайт открывается.
Вопрос 1. В документации указано, что "Обратный прокси устанавливается на шлюзе компании, который имеет как минимум один честный (белый) IP адрес, на который приходят запросы из сети интернет;" (https://elma365.com/ru/help/platform/nginx-elma365-.html). Будет ли схема, реализованная у меня, нормально работать с сервером Элма.
Вопрос 2. На странице для ввода пароля создан логотип. Через прокси он не открывается, при прямом доступе по ip все нормально. Т.е. если я открываю страницу из интернета по адресу, например elma365.company.ru, то вижу незагруженную картинку. Если посмотреть откуда пытается загрузиться картинка, то в ней внутренний адрес http://192.168.1.2/s3elma365/...... Что может быть неправильно настроено?

sultanov · 20 май 2023

Друзья, добрый день!
Разрешите следующую дилемму. Топология кусочка сети приведена на картинке. Сеть разбита на зоны и изолирована от интернета файерволом. Правила хождения пакетов между зонами определяет файервол. Имеется реверс прокси Nginx, находящийся во внутренней зоне DMZ. Есть сервер Элма365, соответственно находящийся в своей зоне.
Посмотреть вложение 414
1. На файерволе по умолчанию все запрещено, кроме явных разрешений.
2. Есть правило DNAT для пересылки пакетов, приходящих из интернета на порты 80 и 443 на реверс прокси Nginx
3. Есть разрешающее правило на доступ по порту 80 от реверс прокси к серверу Элма
Следовательно: пакеты, приходящие на внешний адрес файервола по портам 80 и 443 с помощью правила DNAT пересылаются на Nginx, далее Nginx после преобразований, согласно рекомендаций из документации Элмы, пересылает пакет серверу Элма. Ну и далее ответ возвращается обратно таким же путем.
Сразу скажу, что через такую реализацию прокси, сайт открывается.
Вопрос 1. В документации указано, что "Обратный прокси устанавливается на шлюзе компании, который имеет как минимум один честный (белый) IP адрес, на который приходят запросы из сети интернет;" (https://elma365.com/ru/help/platform/nginx-elma365-.html). Будет ли схема, реализованная у меня, нормально работать с сервером Элма.
Вопрос 2. На странице для ввода пароля создан логотип. Через прокси он не открывается, при прямом доступе по ip все нормально. Т.е. если я открываю страницу из интернета по адресу, например elma365.company.ru, то вижу незагруженную картинку. Если посмотреть откуда пытается загрузиться картинка, то в ней внутренний адрес http://192.168.1.2/s3elma365/...... Что может быть неправильно настроено?
Посмотреть вложение 415

Нажмите, чтобы раскрыть...

dolphi
20 май 2023

Добрый день. NAT не проксирует сокеты, что не гарантирует корректную работу приложения

Реверс прокси Nginx

dolphi Новичок

sultanov Техническая поддержка