servidor reverso protocolo para inverso configurar configuracion iis proxy windows-server-2012

iis - reverso - ¿Cómo configurar el proxy directo en el servidor de Windows para las solicitudes HTTP y HTTPS salientes?



proxy reverso iis 7 (1)

Tengo un VPS de Windows Server 2012 que ejecuta una aplicación web detrás de Cloudflare. La aplicación necesita iniciar conexiones salientes en función de las acciones del usuario (por ejemplo, cargar imágenes desde la URL). El problema es que esto ''filtra'' la dirección IP de mi servidor y aumenta el riesgo de ataques DDOS.

Así que me gustaría evitar que se descubra la IP de mi servidor configurando un proxy directo. Hasta ahora, mi investigación ha demostrado que esta no es una tarea simple, y supondría configurar otro VPS para actuar como un proxy.

¿Este servidor proxy VPS adicional debe estar ejecutando Windows? ¿Son sus servicios pagos los que podrían servir como un proxy directo para mi servidor (como el sistema de proxy inverso de cloudflare)?

Además, parece que el complemento sugerido de proxy de IIS, enrutamiento de solicitud de aplicación , no funciona para HTTPS.

¿Hay una solución para ambos tipos de solicitudes salientes (HTTPS + HTTP)?

Estoy realmente perdido aquí, por lo que cualquier ayuda o sugerencia sería apreciada.


Estás en lo correcto al necesitar un "Proxy hacia adelante". Una buena analogía para esto es la configuración de proxy que su navegador tiene para las solicitudes salientes. En su caso, la aplicación web se comporta como un navegador de escritorio y puede configurarse para realizar la solicitud de recursos a través de un proxy.

A menudo puede controlar esto para solicitudes individuales en la capa de aplicación. Un ejemplo de hacerlo con C #: C # Connecting Proxy

En cuanto al servidor proxy real: No, no necesita ejecutar Windows o IIS. Sí, puedes usar un servicio proxy. La gran mayoría de los servicios proxy están dirigidos a los consumidores y se utilizan para la privacidad personal o para evitar las restricciones de la red. Como tal, no tengo recomendaciones directas.

Cloudflare en realidad tiene recomendaciones con respecto a esto: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/ .

Las características como "cargar desde la URL" que permiten al usuario subir una foto de una URL determinada deben configurarse de modo que el servidor que realiza la descarga no sea el servidor de origen del sitio web.

Esto puede ser un mitigador de riesgos más cómodo, ya que no dependería de un servicio proxy de terceros. Una solicitud de carga podría manejarse como una llamada de servicio web a un servidor dedicado de "descarga de archivos". Tenga en cuenta que si tiene un proceso en cola para que otro servidor haga el trabajo, y ese servidor está alojado en la misma infraestructura, ambos podrían verse afectados por un DDoS, según el tipo de DDoS.

Su pregunta implica que puede sentirse cómodo al usar un servidor que no sea de Windows. Existen muchos softwares que pueden funcionar como un proxy (la mayoría de los servidores web), pero sufren el mismo problema que ARR: falta de soporte para el verbo HTTP "CONNECT", que los navegadores modernos utilizan para iniciar una conexión HTTPS antes de emitir un " OBTENER". SQUID es muy popular, de código abierto, y es compatible con todo para conectarse a ... cualquier cosa. No es trivial para configurar. Apache también tiene soporte para esto en "mod_proxy_connect", pero no tengo experiencia en eso y la documentación en línea no es muy robusta. Sin embargo, es Apache, por lo que puede valer la pena una investigación adicional.