- PR -

(リバースプロキシ)インターネットからファイアウォール内にあるWEBサーバへのアクセスについて

1
投稿者投稿内容
1977SE
会議室デビュー日: 2007/08/23
投稿数: 6
投稿日時: 2007-08-23 00:19
はじめまして

リバースプロキシを使って、外部(インターネット)からファイアウォールの中にあるWEBサーバ(Apache)に接続する方法について教えてください。

疑問点は以下です。
------------------------------
@Apacheのモジュール「mod_proxy」を使って、リバースプロキシサーバを構築することは可能か?
Aファイアウォールの中に移設するWEBサーバ(Apache)の改造は必要か?(Apacheの設定変更など)
BSSLの設定は、
  「外部とリバースプロキシサーバ」と
  「内部とWEBサーバ」に対しての
 2つを設定するのが一般的であるのか?
 (Apache-SSLとOpenSSLで実装可能であるか?)
CWEBサーバのURLに対して外部からアクセスする方法は、
  「公開されているDNSサーバにリバースプロキシサーバのアドレスを設定すること」と
  「リバースプロキシサーバのApacheの設定(mod_proxy)する」ことで
 対応可能であるか?

【構成イメージ】
 リバースプロキシサーバ 1台 Apache 新設
 WEBサーバ 1台 Apache 外部に存在したものを移設

わかる範囲で結構ですので、回答を宜しくお願いします。
概略を把握することを目的としており、質問内容があいまいであることをご了承ください。

以上、宜しくお願いします。

BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-08-23 13:41
こんにちは。

引用:
1977SEさんの書き込み (2007-08-23 00:19) より:

リバースプロキシを使って、外部(インターネット)からファイアウォールの中にあるWEBサーバ(Apache)に接続する方法について教えてください。

【構成イメージ】
 リバースプロキシサーバ 1台 Apache 新設
 WEBサーバ 1台 Apache 外部に存在したものを移設

部分回答になります。
# なお質問文に使用している○数字は機種依存文字なので、net上では使わない
# で下さい。

A1.実際にApacheベースで構築したことはありませんが、net検索した限りでは
 可能だと思われます。

A2.質問の意味が良くわかりませんが、Webサーバと新設するリバースプロキシ
 の関係が下図のような状況なら改造不要だと思います。

コード:
既存環境     −−−−−→       変更後環境

internet                  internet
 |                     |
 |                    reverse proxy
 |                     |
Firewall−−WebServer(DMZ)        Firewall−−WebServer(DMZ)
 |                     |
社内LAN                   社内LAN

A3.Proxyの役割を考えるとWebServerだけで良い筈です(自信なしw)

A4.Proxyの存在はDNSに公開する必要は無いはずです。
1977SE
会議室デビュー日: 2007/08/23
投稿数: 6
投稿日時: 2007-08-24 00:24
ご回答ありがとうございます。
参考になりました。

補足させてもらうと4番目の質問は
・リバースプロキシサーバと通して外部からWEBサーバにアクセスしたい。
・そのさい、WEBサーバのURLをもちいて外部よりアクセスしたい。
・内部からは、WEBサーバのURLをそのままもちいてアクセスしたい。
を実現したいという意図がありました。

言葉足らずで申し訳ありません。
また、ご意見頂ければ幸いです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-08-24 00:47
こんばんは.
引用:

1977SEさんの書き込み (2007-08-24 00:24) より:

・リバースプロキシサーバと通して外部からWEBサーバにアクセスしたい。
・そのさい、WEBサーバのURLをもちいて外部よりアクセスしたい。
・内部からは、WEBサーバのURLをそのままもちいてアクセスしたい。
を実現したいという意図がありました。

後学までに教えてください.
何を意図していますか?
外部から接続させる際に secure にしたいのであれば
firewall で十分に用を為すでしょうし,
もしかして SSL accelerator(wrapper?)としての
利用でも見込んでいるのでしょうか?
であれば Pound などの方が使いやすいでしょうし.
1977SE
会議室デビュー日: 2007/08/23
投稿数: 6
投稿日時: 2007-08-26 23:28
セキュリティの強化及びパフォーマンスの向上です。

もちろん、貴方がおっしゃるとおり他の方法もいろいろあると思います。
亜衣
常連さん
会議室デビュー日: 2007/07/11
投稿数: 24
お住まい・勤務地: 都内
投稿日時: 2007-08-27 09:49
リバースプロキシの方法はいくらでもありますね。
私もPoundが軽くて好きですし、セキュリティの強化及びパフォーマンスの向上であれば、Poundはもってこいかと思います。
ただ、企業の場合、サポート等を考慮するとApacheの方が安心かもしれませんね。
(最近はOS?メディアに含まれていることもあり、サポートの範囲内の場合もありますし)

本題
外部向けのDNSと内部向けのDNSは別になっていますでしょうか?
そうなっていれば、単にDNSのエントリーを別々にするだけで解決するような気がするのは、浅はかでしょうか?
浅知恵なら飛ばしてください。
1

スキルアップ/キャリアアップ(JOB@IT)