如果我设置了代理,那么流向代理并传出互联网的流量是否具有客户端的源 IP 地址或代理的 IP 地址?
我需要设置一个网络,使代理无法被绕过。我认为如果流量源自代理,那么网络上的客户端直接访问就会被拒绝,这样会更好。
如果代理数据保留其源 IP 地址,有什么方法可以防止绕过代理?
答案1
代理人是一个中介机构。您的网关以及客户端访问的外部资源的主机将观察来自代理而不是原始客户端的 IP 流量。
如果必须使用代理,您可以(并且应该)在出口点配置数据包过滤器,以允许来自代理的流量,同时拒绝其他客户端的任何直接访问尝试。您可能希望将代理放置在其自己的网段中,以避免使用 IP 欺骗或数据层中毒绕过代理的风险。
这种安排并不妨碍代理包含表明请求已被转发给另一个客户端的信息。当您的下游客户端通过代理服务器传递流量时,它们不会自动匿名。例如,网络代理可能会添加X-Forwarded-For标题对于任何已处理的 HTTP 流量,其中标头包含流量转发到的客户端计算机的 IP 地址。(这些地址可能是原始请求客户端、下游代理或两者的地址。)