[megoldva] sniproxy átirányítás szűrése forrás ip-re

Sziasztok!

Nem vagyok sniproxy guru és most beleszaladtam egy olyan kérésbe hogy egy snprxy-n kéne egy 80-as átirányítás szűrni forrás ip-re.

Így nézne ki:

valami.hu:80 -> tűzfal nat -> (megadott forrás ip de csak a valami.hu-nál) sniproxy -> belso-ip:80

Tud ilyet egyáltalán? Nem találom a doksiba...

[megoldva] köszi ggallonak:

tűzfal/router szinten a megadott forrás IP címekről, 80-as cél portra érkező kapcsolatokat (d)NAT-olod a megfelelő belső szerverre, minden más 80-as célportra érkező kapcsolatot pedig az sniproxy-hoz irányítasz mint eddig.

Hozzászólások

Szerintem nem tud ilyet, nagyon lightos appról lévén szó.

Egy nginx nem lenne jobb? Azzal már bármit meg tudsz csinálni.

Nem tudom jól értem-e a teendőt, de az nem lehetséges, hogy maga a megoldandó feladat "hibás" és nem a szoftver képessége kevés?
Miért lenne az jó, hogy egy adott domain-t elérve bizonyos forrás (kliens) IP címek más tartalmat lássanak (itt konkrétan másik belső szerverről jövő tartalmat), amint más forrás (kliens) IP címekről érkező kérések?
Mi a pontos feladat? Mert ez amit itt vázoltál már egy megoldás valamire, nem az eredeti ügyfél kérés.

De a kérdésedre válaszolva, Nginx-el vagy HAproxy-val ez simán megoldható.

Van egy cégem, ahol egy ip mögött van egy rakás webes szolgáltatás, nextcloud, webmail, stb. Eddig nem volt semmi extra, de most valami automaták díjfizető szoftvere kommunikál a 80-s porton és azt kérték, hogy biztonsági okból ezt egy konkrét ip-re szűrjük. Nem szeretnék a saját szoftverükön belül szűrni...

Asszem megnézem melyik az egyszerűbb, az Ngnix, vagy a HAproxy és átállunk arra.
 

Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.

Ha ilyen "egyszerű" a feladat, akkor akár azt is csinálhatod, hogy tűzfal/router szinten a megadott forrás IP címekről, 80-as cél portra érkező kapcsolatokat (d)NAT-olod a megfelelő belső szerverre, minden más 80-as célportra érkező kapcsolatot pedig az sniproxy-hoz irányítasz mint eddig. Akkor nem is kell az sniproxy-t lecserélni.

A ':valami.hu:80' lenne az IP, amire szűrni kell?

Igen, de úgy, hogy azon az ip-n a akarmi.hu-nak viszont mennie kell. Egy mikrotik a tűzfal, azon tudtommal nem lehet bejövő forgalmat cél url alapján szűrni, így marad a proxy, csak éppen az sniproxy sem tud ilyet.
Úgy tűnik proxy csere lesz a vége. 

Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.

Mikrotik tud Layer7 szűrést, ott tudsz HTTP header-ben lévő FQDN-re szűrni simán. A neten lévő "Facebook tiltás MT-en" példák megfordításával kész is.

De ha ismert a "spéci" 80-as portos kiszolgálát igényő IP címek listája, és azok egyetlen szerverre kell csatlakozzanak mindenképp, akkor nem is feltétlen kell nézni, hogy milyen FQDN-re csatlakoznának, ha ők csak azzal az egyetlen szerverrel beszélhetnek... Ilyenkor csinálsz egy address list-et a forrás címekkel, és egyetlen dnat szabállyal a megfelelő irányba állítod a kéréseiket a router-en.