KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 7: | Zeile 7: | ||
</div>{{DISPLAYTITLE:{{#var:display}}}}{{TOC2}}{{Select_lang}} | </div>{{DISPLAYTITLE:{{#var:display}}}}{{TOC2}}{{Select_lang}} | ||
{{Header| | {{Header|08.2022| | ||
* {{#var: | * {{#var:neu--ACME-Hinweis}} | ||
|[[UTM/APP/Reverse_Proxy v11.7 | '''11.7''']] | |[[UTM/APP/Reverse_Proxy v11.7 | '''11.7''']] | ||
|- | |- | ||
Zeile 34: | Zeile 34: | ||
</div></div> | </div></div> | ||
{{#var:Zertifikat--desc}} | {{#var:Zertifikat--desc}} | ||
<li class="list--element__alert list--element__hint Einrücken">{{#var:Lokales Zertifikat--Hinweis}}</li> | |||
<li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}} | |||
<li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li> | |||
</div> | </div> | ||
Version vom 23. August 2022, 09:21 Uhr
Verwendungszweck
Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.
Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.
Voraussetzungen
Für die Beispielkonfiguration werden folgende Werte angenommen:
- Webserver mit der privaten IP: 10.1.0.150
- Domäne: www.ttt-point.de
Vorbereitungen
- Achtung:
Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Reiter Servereinstellungen im Abschnitt
- Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
- Hierzu wird unter ein Zertifikat benötigt
In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
Einrichtung
Mit einem Klick auf die Schaltfläche Reverse-Proxy Assistent öffnet sich der Assistent.
Assistent
Schritt 1 - Intern
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Zielserver: | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | ||
443 | Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | ||
SSL benutzen: | Ein | SSL sollte unbedingt aktiviert sein | |
Zielserver: | Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt | im Assistenten angelegt werden.||
Servername: | www.ttt-point.de | Name des Netzwerkobjektes. Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet. | |
IP-Adresse: | 10.1.0.150 | IP-Adresse des Webservers | |
Zone: | Zone des Netzwerkobjektes. Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. | ||
443 | Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | ||
SSL benutzen: | Ein | SSL sollte unbedingt aktiviert sein | |
Schritt 2 - ExternEingehende Verbindung definieren | |||
Externer Domainname: | www.ttt-point.de | Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird |
|
Modus | Der Zugriff soll ausschließlich verschlüsselt über https erfolgen. | ||
443 | Proxy-Port ist ebenfalls 443 | ||
SSL-Zertifikat: | Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen) | ||
Schritt 3 - Authentifizierung | |||
Authentifizierung weiterleiten: | Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter. Der Proxy soll keine Authentifizierung durchführen |
||
Anmeldename | Leer | ||
Passwort | Leer | ||
Authentifizierung: | Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll. | ||
Servergruppen Servergruppen
| |||
|
|||
Mit der Schaltfläche | lässt sich die Servergruppe erweitern.|||
ACLs - Zugriffsrechte Über ACLs lassen sich Zugriffsrechte zuweisen. |
|||
Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden) | |||
Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255) | |||
Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse) | |||
Regex auf die Ziel-Domäne (.*\ttt-point\.(de|com)) | |||
Gibt die Domäne des Absenders an (anyideas.de) | |||
Regex auf die Domäne (anyideas) | |||
Regex für Pfade | |||
protoProtokoll (http, https) | |||
Zeitangabe (M T W H F 9:00-17:00) S - Sonntag
M - Montag | |||
Sites Sites
| |||
Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen. Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny". |
|||
Einstellungen Einstellungen
| |||
Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. | |||