Hallo, ich habe einen Rechner mit SL 8.0 gemäß dem Buch Linux Firewalls von Andreas G. Lessig installiert und wie in dem Buch beschrieben den squid, junkbuster und http-gw aus dem fwtk installiert. Als es nun an den Funktionstest ging stellte sich schnell heraus, dass der http-gw nicht richtig funktioniert. Für die Testumgebung habe ich auf einem seapraten Rechner den apache gestartet und stelle dort eine html-Datei bereit. Mit einem 3. Rechner möchte ich als Client durch die Firewall auf die html-Datei des servers zugreifen. Für den Test habe ich die Portumleitung für den squid als transparenten proxy im Paketfilter der firewall ausgeschaltet. Der client hängt am eth0 und der server hängt an eht1 der firewall. Ohne weitere Vorkehrungen kann ich nun mit w3m die html-Datei auf dem client aufschlagen. Nach export http_proxy='192.168.1.103:8080' auf dem client funktioniert der Aufruf der html-Datei nicht mehr. w3m meldet: C'ant load 192.168.0.1. Die IP 192.168.0.1 ist die Adresse des servers. Nach meiner Meinung müsste der export- Befehl den http-gw als proxy bekanntgeben. Die IP-Adresse 192.168.1.103 ist die von eth0 auf der firewall. Die Datei netperm-table ist entsprechend den Angaben aus Linux firewalls eingerichtet und die Startmeldungen des http-gw werden in /var/log/ messages ausgegeben. Leider finde ich keine weiteren log-Hinweise warum sich der http-gw nicht wie erwartet funktioniert. Kann jemand weiterhelfen oder einen Tip geben wie ich mit dem Problem weiterkomme? -- Viele Grüße Dirk
Am Montag, 23. Januar 2006 22:31 schrieb Dirk Meier:
Hallo,
ich habe einen Rechner mit SL 8.0
das ist schon mal der erste Fehler, die 8.0 ist viel zu alt, da gibts ja schon lange keine Sicherheitsupdates mehr.
gemäß dem Buch Linux Firewalls von Andreas G. Lessig installiert und wie in dem Buch beschrieben den squid, junkbuster und http-gw aus dem fwtk installiert.
junkbuster < privoxy (der nachfolger)
Nach export http_proxy='192.168.1.103:8080' auf dem client
export http_proxy="http://192.168.1.103:8080", dann müsste das gehn. wobei mir noch nicht ganz klar ist wo du den port 8080 hernimmst... Generell würd ich in deinem fall folgendes machen: Squid auf firewall, in den firewall regeln dann transparenten proxy einstellen, also zwangsweiterleitung "alles port 80" nach port 3128 (squid), und dann im squid als nächsten proxy in der kette den privoxy bzw junkbuster; damit kannst du dir dann das http-gw sparen. Ganz generell würd ich sagen, mach das ganze noch mal mit einer aktuelleren Suse, am besten die 10.0 da hast du am längsten Updates, oder warte auf die 10.1, die 1. beta ist raus, kann also nicht mehr allzulang dauern, die 3. beta ist ja dann schon die verkaufsversion ;) bye, MH -- gpg key fingerprint: 5F64 4C92 9B77 DE37 D184 C5F9 B013 44E7 27BD 763C
Am Montag, 23. Januar 2006 23:06 schrieb Mathias Homann:
Am Montag, 23. Januar 2006 22:31 schrieb Dirk Meier:
Hallo,
ich habe einen Rechner mit SL 8.0
das ist schon mal der erste Fehler, die 8.0 ist viel zu alt, da gibts ja schon lange keine Sicherheitsupdates mehr.
gemäß dem Buch Linux Firewalls von Andreas G. Lessig installiert und wie in dem Buch beschrieben den squid, junkbuster und http-gw aus dem fwtk installiert.
junkbuster < privoxy (der nachfolger)
Nach export http_proxy='192.168.1.103:8080' auf dem client
export http_proxy="http://192.168.1.103:8080", dann müsste das gehn.
wobei mir noch nicht ganz klar ist wo du den port 8080 hernimmst...
Generell würd ich in deinem fall folgendes machen:
Squid auf firewall, in den firewall regeln dann transparenten proxy einstellen, also zwangsweiterleitung "alles port 80" nach port 3128 (squid), und dann im squid als nächsten proxy in der kette den privoxy bzw junkbuster; damit kannst du dir dann das http-gw sparen.
Ganz generell würd ich sagen, mach das ganze noch mal mit einer aktuelleren Suse, am besten die 10.0 da hast du am längsten Updates, oder warte auf die 10.1, die 1. beta ist raus, kann also nicht mehr allzulang dauern, die 3. beta ist ja dann schon die verkaufsversion ;)
bye, MH
-- gpg key fingerprint: 5F64 4C92 9B77 DE37 D184 C5F9 B013 44E7 27BD 763C
Hallo Mathias, war der richtige Hinweis. Jetzt bekomme ich auch die entsprechenden Meldungen vom http-gw. Ich habe SL8.0 verwendet, da es im firewall Buch beschrieben wird und ich nicht weiß, ob SL10.0 die gleichen Mechanismen für den paketfilter verwendet. Gleiches gilt auch für den junkbuster. Den http-gw habe ich gem. dem firewall-Buch zur Filterung der aktiven Inhalte java, javascript und activex sowie dem logging installiert. Ich werde mich erst mal mit den neueren Versionen der Software beschäftigen. Vielleicht kannst Du mir ja bezüglich der o.g. Fragen noch ein paar Hinweise geben. -- Dirk
participants (2)
-
Dirk Meier
-
Mathias Homann