![](https://seccdn.libravatar.org/avatar/b8af53420368eb05388eee515adbf4aa.jpg?s=120&d=mm&r=g)
Hallo Liste, hallo Waldemar, Waldemar Brodkorb wrote:
Hallo Harry,
From the keyboard of Harry, Waldemar Brodkorb wrote:
Hallo Harry,
From the keyboard of Harry,
Hallo Leute,
da proxys ja sicherer als Masquerading sind, stelle ich hiermit folgende Frage:
Apropos, wie kommst du darauf? Wie kannst du diese Aussage belegen bzw. untermauern. Interessiert mich nur mal, weil ich vor 6 Monaten oder so, diesselbe Frage versucht habe mir selbst zu beantworten.
Das ist 'ne gute Frage. Ich meine durch Lesen diverser Literatur (c't, Firewall ...) "herausgelesen" zu haben, daß ein Proxy immer "sicherer" ist als das entsprechende Masquerading. Stichhaltige Argumente kann ich jetzt leider nicht aufführen, wenn ich das mal kann werde ich das sicher tun, da gehts mir evtl. so wie dir.
Gibt es mail-proxys,news-proxys,icq-proxys ?
Oder anders herum, welche proxys für welche Dienste könnte man unter LINUX verwenden ?
Hast du schon mal die genialen Suchmaschinen Google und Feshmeat befragt?
Joo, da bekommt man viele Informationen. Meine Intention war ja auch ein bischen anders,welche proxys werden von Leuten in der Liste verwendet, wer kann Tips geben ?
Dann hättest du dein Subject auch geschickter wählen können. Auch die Frage selbst war nicht so gestaltet, das ich vermutet hätte das es dir um konkrete Erfahrungen geht.
Ich möchte es mal so formulieren. Wenn man ein internes Netz an ein externes "anschließt" gibt es da viele Möglichkeiten Scheiße zu bauen, aber auch einige, die ein höchstmaß an Sicherheit bieten. Da heutzutage jeder Blödmann mit dem richtigen Kit einen Angriff starten kann und das auch inzwischen Alltag ist, wird das d i e Frage der Zukunft sein. Sowohl in privater hinsicht (ich arbeite an meinem privaten Netz), als auch in kommerzieller (Spionage,DOS, sinnlose Hackversuche ..) . Also versuche ich mir selbst ein Bild zu machen, indem ich hier auf der Liste Informationen sammle, Fragen stelle etc um (erstmal in meinem Kopf, dann in meinem Netz) das Sicherheitsproblem zu lösen. Konkret zur Frage des Subjects: Es ist immer schwer das Subject so zu gestalten, daß die "richtigen" Leute Antworten, eine Diskussion zustande kommt, die dann letztendlich , durch die Diskussion, neue Erkenntnisse "abwirft". Da kann man manchmal danebenliegen, ich glaube in diesem Fall habe ich es aber geschafft einen Thread in Gang zu kriegen, der interessant werden könnte ... Klappt aber nicht immer :o)
Meiner Meinung nach, um auf Waldemars sanften Tadel direkt zu antworten, kann man in der Liste auch mal 'ne Frage loswerden, die mir eben das stundenlange recherchieren erspart, weil andere das schon gemacht haben, kostet ja auch Zeit und Geld ..
Kommt auf die Fragestellung an .... siehe sig ;)
So nach dem Motto "das Rad muß nicht ständig neu erfunden werden". Macht aber um Gottes Willen keinen neuen Benimm- oder sonstigen Thread daraus, sonst schreib' ich nie wieder was, ehrlich :o)
Ich sicher nicht.
Puh, das geht mir manchmal schon auf den Keks. Aber: Wo man redet, da werden Informationen ausgetauscht, manchmal ist das ein Selbstzweck, manchmal entwickelt sich was. Ich lerne viel, indem ich einfach Threads mitlese ohne was beizutragen, das können auch völlige Offtopic-Geschichten sein. Das Mehrvolumen in der Liste stört mich dabei überhaupt nicht, ich beschwere mich ja auch nicht, wenn in der c't, der Tageszeitung oder in den sonstigen Medien Dinge angesprochen werden, die mich nicht interessieren. Ich kann ja nach ein paar Augenblicken entscheiden, ob ich das lese/höre/schaue. Meiner Meinung nach sollte das dann möglichst frühzeitig als OT gekennzeichnet werden, das wars. Ab und zu mal über den Tellerrand schauen hat noch keinem geschadet, man kann ja wenn man will im Teller bleiben ...
Es gibt haufenweise Application Level Gateways für Linux. Hier nur ein paar die ich kenne und teilweise schon einsetze: Für HTTP, Passives FTP: Squid
Verwende ich für ftp,http,https, abgehakt :o)
Apache
Hey, wofür kann man denn den Apachen noch mißbrauchen ?
Ja, da guckste. Den kann man auch als HTTP-Proxy nutzen. Den Squid dafür aber auch als Reverse-Proxy vor einem Apache *g*
Sorry, habe ich nicht kapiert, eine Art Proxy-Chaining ? Wo liegt der Vorteil ?
Für IRC: tircproxy
Cool,kannte ich nicht, verwende auch kein IRC, werde mir das aber mal ansehen.
Ermöglicht auch das DCC - Direct Client to Client Protocol. Leider habe ich noch ein paar Probleme es einzusetzen, aber das hat nichts mit Linux zu tun, deswegen behalte ich es für mich.
generischer SOCKS5-Proxy¹: dante
Das hatte ich schonmal als Frage in der Liste gestellt (und keine Antwort bekommen :-| ) . Was ist denn darunter genau zu verstehen ?
Für mich hört sich das so an als, ob du _genau_ betont hättest: RFC 1928 http://www.inet.no/dante/doc/ http://www.socks.nec.com/
Das ist so wie in der Schule/Uni/FH. Manchmal habe ich keine Lust erst die Theorie durchzukauen, sondern will Aufgaben lösen und dadurch lernen und wenn es dann noch nötig oder interessant erscheint werde ich mich in die theoretischen Dinge reinknien. Was hat das mit der Schule zu tun ? Der Lehrer/Prof vermittelt einem das Wissen, das man braucht um eine Aufgabe zu lösen, es steckt aber natürlich eine Theorie/Satz etc dahinter. Die Theorie, die der Prof. draufhat braucht man aber erstmal nicht, um die Aufgabe zu bewältigen, entsteht da Interesse, versucht man den Rest auch noch rauszukriegen .. Konkret, du erzählst mir, daß man mit dem SOCKS5 ein paar interessante Dinge machen kann. Ich werde das ausprobieren, dich evtl. nachfragen und so meinen Horizont erweitern. In der 1. Klasse lernen wir Addieren ohne den ganzen zahlentheoretischen Kram, interessiere ich mich für mehr werde ich Leistungskurs Mathematik belegen, Mathe studieren. Wenn nicht kann ich immerhin addieren ...
Kann ich den für ein beliebiges Protokoll verwenden ?
Jein. Das Socks5 Protokoll unterstützt TCP und UDP, allerdings müssen die Clientapplikationen meist neu kompiliert werden, bzw. dafür ausgelegt sein. Darüberhinaus gibt es auch kranke Protokolle (z.B. das was Netmeeting verwendet), die sicher nicht funktionieren. Der Client kommuniziert mit dem Socks-Server und der Socks-Server stellt die eigentliche Anfrage ins Internet. (Sowie halt bei jedem Proxy) Es ist dann aber auch möglich vom Internetserver einen Kommunikationskanal zum Client aufzumachen. (Ist z.B. bei FTP erforderlich, Datenkanal)
Würde das auch mit news gehen ?
Für News verwende ich lieber leafnode, da ich den CachingEffekt nützlich finde.
So a'la squid ?
Für FTP: SuSE FTP-Proxy
Von dem bin ich nicht so begeistert, da ich das Ding trotz mehrmaliger Versuche einfach nicht dazu gebracht habe so zu funzen, wie ich mir das vorgestellt hatte. Vielleicht war ich auch zu blöd ... :o) Ich verwende zur Zeit den von Sebastian Wolfgarten gecodeten ftp-proxy , der funzt prima.
Kenne ich bisher nicht, schaue ich mir mal an.
Für SMTP: postfix
Damit ich das richtig verstehe, ich möchte keinen Mailserver aufbauen, meine Clienten sollen schon jeweils ihren eigenen "Mail-Provider" verwenden. kann man das nehmen, wenn man zum Beispiel bei gmx ist ?
Dann würde ich eher zu masqmail greifen. (ein srpm/rpm findest du für SuSE 7.3 z.B. bei http://packman.links2linux.de)
Genauso Waldemar, ich brauchte nur den Hinweis, dann probier ich herum und dann schaun' mer mal ...
Was verwende ich denn am Besten für pop3 ? Ist ddas dann transparent für die jeweiligen Clienten oder muß dann bei denen jeweils noch neu konfiguriert werden ?
Kommt drauf an was du machen willst. Der Sinn ist bei mir noch nicht durchgesickert.
Ich weiß noch nicht einmal ob es einen Sinn hat, ich verfolge quasi nur eine Spur, die auch falsch sein kann. Aber das Spurenverfolgen ist auch spaßig ...
Der Vorteil einen eigenen Mailrelay/server aufzusetzen liegt darin, das du z.B. ausgehende und eingehende Mails auf Viren prüfen könntest. Oder Regeln zur Verringerung von SPAM einsetzen. Postfix bietet da sehr gute Möglichkeiten über header und body Checks.
Zum Beispiel ...
Wäre dir dankbar, wenn du das nochmal näher erklären könntest, diese Socks-Geschichte finde ich interessant, das könnte was sein. Was ich brauche, ich bräuchte aber noch ein klein bischen mehr input :o)
O.k. Noch ein paar Hinweise. Nach der Installation und dem Durcharbeiten der Doku's und den FAQ's, bietet die Beispielkonfiguration einen guten Startpunkt. Ich würde erstmal alles sehr _offen_ konfigurieren, um sicherzugehen das die Grundfunktionalität klappt. Dann die Konfiguration verifizieren: danted -V Und anschließend kann man den Dämon erstmal im Debug-Modus starten: danted -d Der einfachste Client zum ersten Test ist Netscape. In den Proxyeinstellungen den Proxyhost eintragen, Netscape neustarten und ab gehts.
Danke, ich werde das in den nächsten Tagen in Angriff nehmen, ich habe jetzt wieder genug "Gedankenstoff/Spuren" gesammelt um dem Optimum näher zu kommen ...
gruß Waldemar
Gruß Harry PS.: Auch wenn mein Anliegen vielleicht immer noch nicht klar (formuliert) ist, hilft mir das alles weiter ..