การตั้งค่าพร็อกซีย้อนกลับโดยไม่เปิดพอร์ตขาเข้า (เฉพาะพอร์ตขาออก) บนไฟร์วอลล์

ฉันได้รับคำขอที่ผิดปกติซึ่งฉันไม่แน่ใจว่ามีวิธีแก้ปัญหาหรือไม่

ลูกค้าของฉันต้องการโฮสต์เว็บแอปพลิเคชันบนเครื่อง A และเข้าถึงได้โดยไปที่ URL ของเครื่องที่สาธารณชนสามารถเข้าถึงได้เท่านั้น

ตามปกติแล้วพร็อกซีย้อนกลับควรจะพอเพียง แต่มีความยุ่งยากเพิ่มอีกหนึ่งอย่างที่ไม่จำเป็นคือไคลเอนต์ของฉันไม่ต้องการเปิดพอร์ตของเว็บแอปพลิเคชั่นบนไฟร์วอลล์ของเครื่อง A แต่มันก็ใช้ได้กับ Machine A ที่เชื่อมต่อกับ Machine P หาก Machine A กำลังทำการเชื่อมต่ออยู่ ขาออก สัมพันธ์

มีซอฟต์แวร์ใดที่มีอยู่ที่ฉันสามารถใช้เพื่อตั้งค่า reverse proxy ในลักษณะที่ Machine A เริ่มต้นการเชื่อมต่อ - การเชื่อมต่อกับพอร์ตที่ผูกไว้กับ Machine P - หลังจากที่ Machine P สามารถย้อนกลับการร้องขอเว็บขาเข้าของ หรือไม่ A

ทั้งสองเครื่องใช้งาน CentOS (6 หรือ 7) และฉันสามารถควบคุมการติดตั้งซอฟต์แวร์ใด ๆ ข้อ จำกัด เพียงอย่างเดียวคือฉันไม่สามารถเปิดพอร์ตใด ๆ ที่เข้ามาในไฟร์วอลล์สาธารณะของ Machine A (ด้วย Machine P ที่ถือว่าเป็น "สาธารณะ" แม้ว่าจะเป็นเครื่องที่เชื่อถือได้ก็ตาม

อย่างที่คุณทราบวิธีแก้ปัญหาใด ๆ ที่คุณใช้นั้นแย่กว่านั้นเปิดไฟร์วอลล์บนเครื่อง B เพื่อให้เครื่อง

คุณสามารถสร้างอุโมงค์ SSH จากเครื่อง B ไปยังเครื่อง A แล้วใช้มัน ไวยากรณ์จะมีอะไรบางอย่างที่ชอบ (จากเครื่อง A):

ssh -R 8081: localhost: 8080 user @ machineb

สิ่งนี้จะช่วยให้ผู้คนสามารถเชื่อมต่อกับ localhost: 8081 บน machineS เพื่อเชื่อมต่อกับพอร์ต 8080 บนเครื่อง

มันไม่ใช่ความคิดที่ดีในกรณีนี้เพราะคุณมองเห็นการสูญเสียการรับส่งข้อมูลที่ยากขึ้น

แน่นอนว่ามีหลายวิธีที่จะทำสิ่งเดียวกัน - เช่นการตั้งค่าอุโมงค์ OpenVPN ระหว่างเครื่อง 2 เครื่อง