Hallo, ich möchte mit diesen Tool einen transparenten Proxy aufsetzen, dazu habe ich das gemacht was im Handbuch steht Zuerst habe ich den Squid installiert den SuseFirwall2 (mittels YAST2) für's masquerading konfiguriert, dies funktionert auch, man kommt direkt ins Internet oder wenn man den Proxy (port 3128) in den Client-Browser einträgt über den Squid, was ich auch mittel's des Tools 'sarg' kontrolliert habe. Um nun einen Transparenten Proxy (wollte die Windows-Rechner nicht einzeln umstellen) einzurichten habe ich squid.conf modifiziert also zusätzlich zu den bisherigen Einträgen noch folgende hinzugefügt. httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on anschließend habe ich in der SuSEfirewall2 folgende Änderung zur Masquerade-Einstellung vorgenommen FW_MASQUERADE="no" (yes) FW_MASQ_NETS="" (0/0) FW_SERVICES_INT_TCP="domain http 3128" FW_SERVICES_INT_UDP="domain" FW_REDIRECT="192.168.99.0/16,0/0,tcp,80,3128 192.168.99.0/16,0/0,tcp,21,3128 192.168.99.0/16,0/0,udp,80,3128 192.168.99.0/16,0/0,udp,21,3128" Leider funktioniert das ganze nicht, hat jemand eine funktionierende "Transparente Proxy"-Konfiguration, oder kennt jemand eine Anleitung auf Deutsch zu SuSEfirewall2. Ich habe mich in den letzen 2 Tagen dumm und dämlich gegoogelt, fand aber nichts war mir weitergeholfen hat. Viele Grüße Werner -- Homepage http://www.info-dialyse.de Mail: mailto://W.F.Gross@t-online.de
Um nun einen Transparenten Proxy (wollte die Windows-Rechner nicht einzeln umstellen) einzurichten habe ich squid.conf modifiziert also zusätzlich zu den bisherigen Einträgen noch folgende hinzugefügt.
httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
soweit richtig. Hast du squid danach auch neu gestartet? rcsquid restart
anschließend habe ich in der SuSEfirewall2 folgende Änderung zur Masquerade-Einstellung vorgenommen
FW_MASQUERADE="no" (yes) FW_MASQ_NETS="" (0/0) FW_SERVICES_INT_TCP="domain http 3128" FW_SERVICES_INT_UDP="domain" FW_REDIRECT="192.168.99.0/16,0/0,tcp,80,3128 192.168.99.0/16,0/0,tcp,21,3128 192.168.99.0/16,0/0,udp,80,3128 192.168.99.0/16,0/0,udp,21,3128"
Mich wundert ein bisschen, dass du private Adressen für dein Subnetz (192.168.99.0/16) benutzt und kein Masquerading eingeschaltet hast (oder ist der Rechner kein Router?). Wenn er ein Router ist, würd ich mal folgendes versuchen: FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.99.0/16" Auch hier nach einer Änderung die Firewallregeln mit rcSuSEfirewall2 reload übernehmen. Bei mir funktioniert's mit diesen Einstellungen jedenfalls einwandfrei. Wenn der Rechner kein Router ist, kann das so nicht funktionieren. Alle anfragen ins www gehen dann nämlich völlig an diesem Rechner vorbei über den Router ins Netz. Du müsstest die Regel zum Umleiten von http und ftp auf den Squid-Rechner dann in den Regeln deines Routers vornehmen. Gleichzeitig müsstest du sicherstellen, dass die Anfragen des Squid-Rechners ins Netz nicht wieder zurück geleitet werden. Ich hoffe ich hab da jetzt keinen Denkfehler gemacht... Grüsse Philipp
Werner Groß wrote: [Squid als transparenter proxy mit SF2]
FW_REDIRECT="192.168.99.0/16,0/0,tcp,80,3128
192.168.99.0/24,0/0,tcp,80,3128
192.168.99.0/16,0/0,tcp,21,3128
das geht nicht. Squid ist _kein_ ftp-proxy. wenn du einen suchst: http://www.suse.de/en/whitepapers/proxy_suite/
192.168.99.0/16,0/0,udp,80,3128 192.168.99.0/16,0/0,udp,21,3128"
*ähm* die beiden sind sinnfrei. http und ftp benutzen tcp.
Leider funktioniert das ganze nicht, hat jemand eine funktionierende "Transparente Proxy"-Konfiguration, oder kennt jemand eine Anleitung auf Deutsch zu SuSEfirewall2.
http://prdownloads.sourceforge.net/susefaq/firewall2-a4-0-9.pdf?download'? ist aber in englisch. micha
----- Original Message -----
From: "Werner Groß"
Hallo,
ich möchte mit diesen Tool einen transparenten Proxy aufsetzen, dazu habe ich das gemacht was im Handbuch steht
Zuerst habe ich den Squid installiert den SuseFirwall2 (mittels YAST2) für's masquerading konfiguriert, dies funktionert auch, man kommt direkt ins Internet oder wenn man den Proxy (port 3128) in den Client-Browser einträgt über den Squid, was ich auch mittel's des Tools 'sarg' kontrolliert habe.
Um nun einen Transparenten Proxy (wollte die Windows-Rechner nicht einzeln umstellen) einzurichten habe ich squid.conf modifiziert also zusätzlich zu den bisherigen Einträgen noch folgende hinzugefügt.
httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
anschließend habe ich in der SuSEfirewall2 folgende Änderung zur Masquerade-Einstellung vorgenommen
FW_MASQUERADE="no" (yes) FW_MASQ_NETS="" (0/0) FW_SERVICES_INT_TCP="domain http 3128" FW_SERVICES_INT_UDP="domain" FW_REDIRECT="192.168.99.0/16,0/0,tcp,80,3128 192.168.99.0/16,0/0,tcp,21,3128 192.168.99.0/16,0/0,udp,80,3128 192.168.99.0/16,0/0,udp,21,3128"
Leider funktioniert das ganze nicht, hat jemand eine funktionierende "Transparente Proxy"-Konfiguration, oder kennt jemand eine Anleitung auf Deutsch zu SuSEfirewall2.
Ich habe mich in den letzen 2 Tagen dumm und dämlich gegoogelt, fand aber nichts war mir weitergeholfen hat.
Ich habe vor einer Weile mich auch mal ewig mit sowas rumgequält, bis ich etwas mitbkommen habe: Der Redirect in der SuSE Firewall funzt nicht, zumindest bei SuSE Firewall 1, die ich noch verwende. Ich habe den redirect stattdessen selbst geschrieben und zwar mit folgendem Befehl: ipchains -A input -p TCP -d any/0 80 -j REDIRECT 8080 du musst aber iptables verwenden, da kenne ich die Syntax nicht so genau, ist aber sicherlich ähnlich. httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Diese Zeilen habe ich bei mir übrigens wieder rausgenommen, kannst du dann auch mal probieren. Mfg, Thomas
Hi! On Mon, Mai 05, 2003 at 12:51:46 +0200, Thomas Gräber wrote:
From: "Werner Groß"
ich möchte mit diesen Tool einen transparenten Proxy aufsetzen, dazu habe ich das gemacht was im Handbuch steht
Zuerst habe ich den Squid installiert den SuseFirwall2 (mittels YAST2) für's masquerading konfiguriert, dies funktionert auch, man kommt direkt ins Internet oder wenn man den Proxy (port 3128) in den Client-Browser einträgt über den Squid, was ich auch mittel's des Tools 'sarg' kontrolliert habe.
Um nun einen Transparenten Proxy (wollte die Windows-Rechner nicht einzeln umstellen) einzurichten habe ich squid.conf modifiziert also zusätzlich zu den bisherigen Einträgen noch folgende hinzugefügt.
httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
anschließend habe ich in der SuSEfirewall2 folgende Änderung zur Masquerade-Einstellung vorgenommen
FW_MASQUERADE="no" (yes) FW_MASQ_NETS="" (0/0) FW_SERVICES_INT_TCP="domain http 3128" FW_SERVICES_INT_UDP="domain" FW_REDIRECT="192.168.99.0/16,0/0,tcp,80,3128 192.168.99.0/16,0/0,tcp,21,3128 192.168.99.0/16,0/0,udp,80,3128 192.168.99.0/16,0/0,udp,21,3128"
Leider funktioniert das ganze nicht, hat jemand eine funktionierende "Transparente Proxy"-Konfiguration, oder kennt jemand eine Anleitung auf Deutsch zu SuSEfirewall2.
Hier mal meine Konfiguration, die funzt prächtigst: --- /etc/sysconfig/SuSEfirewall2 --- FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="21 22 25 80 110 113 443" FW_SERVICES_EXT_UDP="" # Common: domain FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="192.168.0.0/24" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" # Autodetect the services below when starting FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="yes" FW_SERVICE_DHCPD="yes" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="yes" FW_FORWARD="" # Beware to use this! FW_FORWARD_MASQ="" # Beware to use this! FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level info --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_QUICKMODE="no" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_REJECT="yes" FW_CUSTOMRULES="" FW_HTB_TUNE_DEV="" ---------- --- /etc/squid/squid.conf --- ... httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on ... ----------
Ich habe vor einer Weile mich auch mal ewig mit sowas rumgequält, bis ich etwas mitbkommen habe: Der Redirect in der SuSE Firewall funzt nicht, zumindest bei SuSE Firewall 1, die ich noch verwende.
Mit der SuSEfirewall2 funtzts.
Thomas
Tschüs, Schöpp -- Christian Schoepplein | Beste Rockband der Welt: http://www.lily-rockt.de mail@schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de
Hallo, ich habe das mal so umgesetzt das funktioniert auch, aber trotzdem bin ich mir nicht sicher das die Anwender tatsächlich über den Proxy laufen, wie kann ich das feststellen. Was mich noch wundert ist das du unter FW_SERVICES_INT_TCP="" nichts eingetragen hast, obwohl in der SuSE-Anleitung steht das man etwas eintragen muss. Wenn ich das richtig verstand habe wären doch diese die Dienste die im internen Netz angeboten werden, oder verstehe ich daetwas falsch. Tschüs, Werner Am Montag, 5. Mai 2003 13:17 schrieb Christian Schoepplein:
Hi!
Hier mal meine Konfiguration, die funzt prächtigst:
--- /etc/sysconfig/SuSEfirewall2 --- FW_DEV_EXT="ppp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.0.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="21 22 25 80 110 113 443" FW_SERVICES_EXT_UDP="" # Common: domain FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_TRUSTED_NETS="192.168.0.0/24" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" # Autodetect the services below when starting FW_SERVICE_DNS="yes" FW_SERVICE_DHCLIENT="yes" FW_SERVICE_DHCPD="yes" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="yes" FW_FORWARD="" # Beware to use this! FW_FORWARD_MASQ="" # Beware to use this! FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level info --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_QUICKMODE="no" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_REJECT="yes" FW_CUSTOMRULES="" FW_HTB_TUNE_DEV=""
----------
--- /etc/squid/squid.conf --- ... httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on ... ----------
Ich habe vor einer Weile mich auch mal ewig mit sowas rumgequält, bis ich etwas mitbkommen habe: Der Redirect in der SuSE Firewall funzt nicht, zumindest bei SuSE Firewall 1, die ich noch verwende.
Mit der SuSEfirewall2 funtzts.
Thomas
Tschüs, Schöpp
-- Christian Schoepplein | Beste Rockband der Welt: http://www.lily-rockt.de mail@schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de
-- Homepage http://www.info-dialyse.de Mail: mailto://W.F.Gross@t-online.de
Das kannst du mit einem "tail -fn 20 /path/to/your/access.log" Je nachdem, was du im Squid als Pfad für das Logfile eingetragen hast. unter SuSE 7.x liegt das standardmässig unter /var/squid/logs/access.log, glaube ich. Musst du nicht, da der Rechner ja auch alles durchroutet. Die Firewall greift sich dann aus den durchgerouteten Paketen die mit Zielport 80 raus und leitet die dann um. Diese Variable gilt nur für Pakete, die direkt für deinen Server bestimmt sind, also die die IP-Adresse deines Servers als Ziel haben. Mfg, Thomas
Hallo,
ich habe das mal so umgesetzt das funktioniert auch, aber trotzdem bin ich mir nicht sicher das die Anwender tatsächlich über den Proxy laufen, wie kann ich das feststellen.
Was mich noch wundert ist das du unter FW_SERVICES_INT_TCP="" nichts eingetragen hast, obwohl in der SuSE-Anleitung steht das man etwas eintragen muss. Wenn ich das richtig verstand habe wären doch diese die Dienste die im internen Netz angeboten werden, oder verstehe ich daetwas falsch.
Tschüs, Werner
participants (6)
-
Christian Schoepplein
-
Michael Meyer
-
Philipp Guth
-
Thomas Gräber
-
W.F.Gross@t-online.de
-
Werner Groß