我正在设置一个由应用程序和数据库服务器组成的系统,它们全部在私有 LAN 上运行。应用程序服务器通过 HTTP Nginx 反向代理服务器访问,数据库服务器通过 TCP HAproxy 访问。Nginx 和 HAproxy 都在同一台 Ubuntu 主机上运行。
应用程序和数据库服务器需要连接到互联网以便从存储库进行软件升级和安装。
唯一可以连接到互联网的机器是作为代理服务器主机的机器。它有两个网卡,一个用于公共 IP,另一个用于私有 IP。同一台代理服务器还运行 UFW 防火墙,以保护安装免受外部威胁。
我非常了解如何配置 Nginx 和 HAproxy 以实现代理功能。我知道如何配置 UFW 防火墙以进行应用程序过滤,以及配置 NAT 连接。
难题在于如何将发往代理应用程序的连接与那些寻求来自私有段的互联网连接隔离开来。防火墙不会阻止 NAT 连接吗?还是代理连接最终不会被路由?
如何将 NAT 功能与代理功能结合起来而不互相干扰?