VyOS の Web Proxy は、ルーター自身にプロキシ機能を持たせ、内部ネットワークからの HTTP / HTTPS 通信を明示的に経由させるための機能です。現在の構成では、透過プロキシではなく、待受アドレスとポートを明示した通常のプロキシとして扱う方が自然です。
この記事は、VyOS 1.5 の実運用構成をもとに、公開記事として再利用しやすい形へ抽象化したものです。実 IP や内部ネットワーク名はそのまま使わず、Web Proxy をどこに位置づけるかを整理します。
Web Proxy の位置づけ
VyOS の Web Proxy は、内部ネットワーク向けの補助サービスです。DNS forwarding や DHCP と同じく、ルーターが内部端末の通信入口を一部引き受ける構成になります。ただし、すべての通信を無理に集約するものではありません。
| 観点 | 考え方 |
|---|---|
| 待受アドレス | 内部向けアドレスで待ち受ける |
| 待受ポート | 明示プロキシとしてポートを指定する |
| 透過プロキシ | 勝手に通信を横取りせず、基本は無効にする |
| キャッシュ | 容量を決めて補助的に使う |
| Firewall | 外部公開せず、内部からの利用に限定する |
明示プロキシとして設定する
Web Proxy は、どのアドレスで待ち受けるかを明示します。内部ネットワーク向けの loopback や内部インターフェイスのアドレスを使い、クライアント側にはそのアドレスとポートを指定します。
configure
set service webproxy listen-address 10.0.255.88 port '3128'
set service webproxy listen-address 10.0.255.88 disable-transparent
commit
savedisable-transparent を入れることで、透過プロキシとして通信を横取りするのではなく、クライアントが明示的にプロキシを使う構成にできます。これは運用上の責務が分かりやすく、トラブルシューティングもしやすくなります。
キャッシュサイズを決める
プロキシにキャッシュを持たせる場合、ディスクキャッシュ、メモリキャッシュ、最大オブジェクトサイズを決めます。キャッシュは便利ですが、ルーターの本来の役割は転送と境界制御なので、過度に大きくしすぎない方が扱いやすくなります。
configure
set service webproxy cache-size '102400'
set service webproxy mem-cache-size '4096'
set service webproxy maximum-object-size '1000000'
commit
saveここでの値は例です。プロキシを本格的なキャッシュサーバーとして使うのか、一時的な補助として使うのかで適切な値は変わります。
DNS forwarding や DHCP と組み合わせる
Web Proxy は単独で置くより、DNS forwarding や DHCP と合わせて考えると整理しやすくなります。DNS forwarding は名前解決の入口、DHCP は端末への設定配布、Web Proxy は Web 通信の補助的な中継点です。
ただし、DHCP でプロキシ設定を自動配布するか、端末やブラウザ側で明示設定するかは運用方針によります。強制的に通す設計にするほど、例外処理と障害時の影響も大きくなります。
Firewall で公開範囲を制限する
Web Proxy は内部向けサービスとして扱います。外部からプロキシとして使える状態にすると、踏み台や不正利用の原因になります。VyOS 側の listen-address と Firewall の両方で、内部ネットワークからの利用に限定します。
- 外部インターフェイスでは待ち受けない。
- 内部ネットワークからの接続だけを許可する。
- 透過プロキシ化する場合は、影響範囲を明確にする。
- ログやキャッシュの扱いを運用上の責任として考える。
確認
設定後は、Web Proxy の設定、待受、クライアントからの疎通を確認します。疎通しない場合は、Proxy 設定そのもの、Firewall、名前解決、上流への経路を分けて確認します。
show configuration commands | match 'service webproxy'
show service webproxy
curl -x http://10.0.255.88:3128 http://example.com/まとめ
VyOS の Web Proxy は、ルーター内蔵の補助サービスとして扱うと理解しやすくなります。DNS forwarding や DHCP と同じく内部ネットワークを支える機能ですが、外部公開するものではありません。
明示プロキシとして待受アドレスとポートを決め、透過プロキシは必要がある場合だけ検討します。プロキシを使う目的、公開範囲、キャッシュの扱いを先に決めておくと、Firewall や端末設定との関係も整理しやすくなります。
関連する記事
- VyOS ネットワーク設定ガイド
VyOS 1.5 の実運用構成を責務ごとに整理したハブページです。 - VyOS DNS forwarding 設定 – 内部ネットワークの名前解決を整理する
内部ネットワーク向けの名前解決入口を整理しています。 - VyOS DHCP サーバー設定 – LAN 向けアドレス配布の基本
内部端末へ配布するネットワーク設定を整理しています。
次に進む
- VyOS 監視・ログ・LLDP – 運用確認の入口を整える
運用確認とログの入口を整理します。 - VyOS Firewall 基本設計 – trust / outside-in / outside-local を分ける
境界制御の基本設計へ進みます。
参考書籍
書籍
ルーティング、NAT、VPN、ネットワーク設計の基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
関連記事
VyOS DNS forwarding 設定 – 内部ネットワークの名前解決を整理する
VyOS ネットワーク設定ガイド
VyOS IPv4 / IPv6 Firewall – input / forward の責務を分ける
VyOS PPPoE 利用時の MTU と MSS
VyOS IPv6 IPoE インターネット接続設定
VyOS QoS / DSCP 設計 – DNS / NTP などの制御通信をどう扱うか
VyOS tunnel interface – GRE などのトンネルを経路設計に組み込む
VyOS Firewall 基本設計 – trust / outside-in / outside-local を分ける