* On Thu, 18 Jul 2002 at 12:31 +0200, Alex Klein wrote:
* Am 18.Jul.2002 postete Adalbert Michelic:
* On Thu, 18 Jul 2002 at 11:27 +0200, Alex Klein wrote: [Transparenter Proxy]
$FW_BIN_IPT -A OUTPUT -j ACCEPT -o ippp+ -p tcp --dport https --sport 1024:65535 -m state --state NEW,ESTABLISHED $FW_BIN_IPT -A INPUT -j ACCEPT -i ippp+ -p tcp --sport https --dport 1024:65535 -m state --state ESTABLISHED
Den https hab ich bei mir rausgeschmissen, weil was nicht funktioniert hat.
HTTPS kannst Du nicht durch einen transparanten Proxy jagen (Stichwort man-in-the-middle-attack).
Hat bei ner Bankseite nicht funktioniert. Sollte ich mir wohl nochmal ansehen, oder? ;)
Das wird transparent _niemals_ funktionieren.
Wo liegt die Gefährlichkeit bei dem man-in-the-middle-attack?
Client --eth--> Router mit Firewall --isdn--> Internet
HTTPS über Proxy besteht im wesentlichen darin, daß Dein Browser den Proxy ersucht, eine Verbindung zum Rechner $FOO aufzubauen. Anschließend reicht der Proxy nur mehr den verschlüsselten Verkehr vom Browser zum Server weiter, er kann ihn ja nicht lesen. Mit dieser Methode kannst Du übrigens auch SMTP, POP3, SSH, ... - d.h. alles was ein TCP-Protokoll ist und nur eine Verbindung vom Client zum Server aufbaut - durch den Proxy schleusen, vorausgesetzt, der Proxy lässt Zugriffe auf diesen Port zu. Wenn Du das nun transparent durch den Proxy zwicken willst, dann kann der Proxy gar nicht wissen, zu welchen Rechner Du jetzt willst, weil das maximal im verschlüsselten Datenstrom drinnen steht, und den kann nur der Server entschlüsseln. Und das ist gut so. Sonst könnte ja jeder, der Deinen Verkehr abfängt, das entschüsseln, und das wirst Du ja, besonders bei Verbindungen zu Deiner Bank, nicht gerade wollen, oder? Abgesehen davon - aus genau dem gleichen Grund (nämlich, daß der proxy nicht weiß, wohin damit) - kriegst Du eine HTTP/1.0 Verbindung auch nicht transparent über einen Proxy. IIRC. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at