我在办公室有一台服务器,具有本地 IP 地址 ( 192.168.1.15)。该服务器已连接到 Internet,但没有实际 IP 地址(它只是一个简单的 DSL 连接)。我在 rackspace.com 有另一台服务器,它有实际 IP 地址和域名。
现在我想通过 rackspace 服务器使本地托管的 HTTP 网站可以在线访问。我认为我需要设置从本地到公共服务器的 VPN 连接,然后设置 HTTP 隧道或类似的东西。您能提供我需要阅读的文档的链接吗?两台服务器都是 Ubuntu。
答案1
您需要设置 VPN 隧道连接。我建议使用OpenVPN- 它能很好地处理动态 IP 地址和 NAT,安全、相对容易配置,并且在 Ubuntu 中有一个包,可以更快地启动。Ubuntu 文档站点有一个快速入门指南配置它。显然,您需要在 Rackspace 机器上设置服务器部分,在办公室机器上设置客户端部分。
完成此操作并测试连接性后,您需要一个称为“反向代理设置”的东西,其中在 rackspace 机器上运行的 HTTP 服务会将所有请求转发到您的办公室机器 Web 服务器,并将响应发回客户端。HTTP 代理解决方案如下乌贼以及流行的网络服务器软件阿帕奇或者nginx支持这种主要由管理员用于负载平衡和缓存的操作模式 - 但它们将很好地支持您的基本需求。如果您想要快速设置并减少阅读量,我建议使用 nginx。
编辑:您还必须考虑此设置的安全隐患。如果操作不当,您就会邀请攻击者进入您的内部网络。作为安全概念的一般规则,您必须考虑您的192.168.1.15办公室服务器可能带来的危害,并确保它在被攻击者接管时不会造成严重破坏。此外,您应确保您的 VPN 连接只允许访问内部 Web 服务器的端口 80(通常通过在办公室服务器上使用 iptables 规则)——这样,潜在的 Rackspace 服务器黑客就只能滥用 Web 服务。
修改 #2:从技术上讲,也可以使用来自 rackspace 主机的简单端口转发规则,但这有几个缺点,因此不是一个好选择。首先,您将无法在 Web 服务器上进行有用的 IP 地址记录,因为所有数据包都将使用来自 rackspace 主机的源 IP 地址到达,并且没有关于请求来源的更多信息 - 反向代理通过向可用于日志的请求添加 X-Forwarded-for(或类似)标头来解决这个问题。此外,您最终会直接将您的内部 Web 服务器暴露给“邪恶网络”,从而大大扩大攻击面。