サーバIP隠蔽のためのフォワードプロキシについて

#1

ということで、CDNの背後にサーバ配置することでサーバのIPの隠蔽が可能となるものの、サーバ側から直接外部にアクセスした場合は結局IPが漏洩してしまうので、これをプロキシ経由にすることで隠蔽したいという要請があります。

これについては、あまりノウハウが知られていないように思うので、実現方法と課題をディスカッションできればと思います。

1 Like
#2
  • Torを使う
    ・別の案件で使ったことがありますが、ちょっと通信に時間が掛かるかも
    ・場合によっては相手方がTor出口ノードをブロックしている可能性も(受信側からすれば攻撃者と区別が付かない)

  • クラウド業者のサーバでプロキシを建てて、IPアドレス切り替えていく
    ・余計なお金掛かる

みたいなところでしょうか。

1 Like
#3

Mastodonの場合、とりあえずHTTPプロキシさえ用意してしまえば、.env.production

http_proxy=http://proxy.example:8080

※ http_proxy が小文字な事に注意
のように記述することで通信をプロキシ経由にすることができます。
実際に mstdn.rinsuki.net はこの設定で運用しています。

設定漏れがあった時の保険用に、プロキシを経由しないと全ての通信をできないようにするのも手かと思います ( mstdn.rinsuki.net はそうしています )。

4 Likes
#4

dystopia というプロキシが最近できたみたいです、残念ながら攻撃されているようですが……。 https://github.com/tbrand/dystopia

1 Like
#5

なるほど良さそう。攻撃されるのも優れている証拠か……。

1 Like