Comunicarea în spatele firewall-ului

Romain

15.07.2023, 08:29

Încerc să rezolv o problemă care pare a fi simplă, dar nu găsesc o arhitectură curată.

Problema: Am un client care încearcă să acceseze grafana într-o rețea locală.

   |Router|------|Client
          | |
          |------|Grafana

Când vă aflați în spatele routerului (și, prin urmare, a firewall-ului), atunci puteți accesa cu ușurință grafana și îl puteți utiliza. Aș vrea să se întâmple același lucru când sunt în afara rețelei locale.

Client|------|Router|-------|Grafana

Soluție ușoară: Soluția de bază este redirecționarea portului și pur și simplu deschiderea portului X pe router. Nu vreau această soluție pentru că nu pot deschide porturi (din alt motiv fără legătură).

O idee mai bună Mă gândesc să configurez următoarea arhitectură în care este introdus un nou server.

Client|------|Server|-------|Router|-------|Grafana

Ideea, este că Server va menține o conexiune cu Grafana. Acest lucru va preveni orice redirecționare a porturilor, deoarece serverul grafana face prima mișcare. Apoi, dacă clientul dorește să acceseze grafana, va accesa serverul care îl va redirecționa către grafana.

După primul apel, în mod ideal aș dori ca clientul să stabilească o conexiune directă cu grafana, fără a trece prin server.

De asemenea, grafana este un exemplu/tuto, orice altă soluție cu comunicare http ar fi bine

Întrebări:

Este posibil ?
Se pare că există instrumente (CND, reverse proxy) dar nu se potrivesc exact nevoilor mele, sau poate pur și simplu nu știu cum să le folosesc?
Ce instrumente să folosiți pe serverul A și B (websocket, socket.io, Nginx, Apache ...). Ambele servere folosesc Linux.

Mulțumiri !

0 + 0

hard disk

web-application-proxy

grafana

Puncte:0

Server

Mikael H

15.07.2023, 09:24

Aceasta seamănă foarte mult cu o întrebare pentru Super User, nu Serverfault.

Acestea fiind spuse: routerul din imaginea dvs. este un computer care decide modul în care traficul de pe Internet poate comunica cu resursele din rețeaua dvs. și invers. Plasarea unui alt computer în fața routerului face ca acel computer să fie eficient în routerul dvs.: broaște țestoase până în jos.

Deci, da, într-o setare IPv4 cu o singură adresă IP rută publică disponibilă, redirecționarea portului, fie direct (dacă se prezintă un singur serviciu), fie printr-un proxy invers (dacă se prezintă mai multe pe același port) este calea de urmat.

În plus, vă puteți consolida rețeaua prin plasarea resurselor disponibile public într-o rețea logică separată (ceea ce se numește de obicei DMZ), cu reguli stricte de firewall pentru traficul permis de la serverele din DMZ către serverele din rețelele dvs. de server (de exemplu comunicarea cu baza de date care stă la baza serviciului).

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Communication behind firewall

TH: การสื่อสารหลังไฟร์วอลล์

RO: Comunicarea în spatele firewall-ului

RU: Связь за брандмауэром

VI: Giao tiếp đằng sau tường lửa

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.