Wie macht man einen Proxy transparent?
Hallo, ich betreibe hier ein Subnetz eines grösseren Netzwerkes. Dieses größere Netzwerk hat sehr strenge Sicherheitsrichtlinien. Der Zugriff auf das Internet ist nur über Proxies gestattet. Es gibt einen HTTP-Proxy mit Squid, der HTTP, FTP, und HTTPS kann. Außerdem gibt es einen FTP-Proxy, der auch ausgehendes FTP kann, allerdings erfordert eine Authentifizierung mit Username und Passwort, sodaß die meisten FTP-Clients nicht mit ihm umgehen können. Unser Subnetz ist mit einem Gateway an das übergeornete Sicherheitsnetz angeschlossen. Auf dem Gateway läuft Suse 8.2 mit dem Suse Firewall 2. Ich würde nämlich gerne nicht jeden einzelnen PC mit jedem einzelnen Internetclient in diesem Netzwerk ständig auf diese Proxies konfigurieren müssen. Außerdem würde ich gerne den Suse Online-Update machen können, ohne mir ins Knie zu schiessen. Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen? Für Anregungen bin ich dankbar. Viele Grüße, Gordon.
Tach Gordon,
Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen?
ja, daß geht! Sowohl für http, als auch für ftp. Du mußt lediglich Squid und die Firewall entsprechend anpassen. Eine detailierte Anleitung findest Du im Handbuch... Walze.
Frank Gerd Walzebuck wrote:
Tach Gordon,
Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen?
ja, daß geht! Sowohl für http, als auch für ftp. Du mußt lediglich Squid und die Firewall entsprechend anpassen. Eine detailierte Anleitung findest Du im Handbuch...
Walze.
Hallo, eventuell denkst Du auch an einen Router mit NAT? Einfach IP-Forwarding aktivieren (in Netzwerkeinstellungen) und SuSEfirewall2 entsprechend konfigurieren. Viel Erfolg Joachim
Joachim Kieferle, Freitag 12 März 2004 11:11:
Frank Gerd Walzebuck wrote:
Tach Gordon,
Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen?
ja, daß geht! Sowohl für http, als auch für ftp. Du mußt lediglich Squid und die Firewall entsprechend anpassen. Eine detailierte Anleitung findest Du im Handbuch...
Walze.
Hallo,
eventuell denkst Du auch an einen Router mit NAT? Einfach IP-Forwarding aktivieren (in Netzwerkeinstellungen) und SuSEfirewall2 entsprechend konfigurieren.
Ähm, das wäre sicherlich ein Schritt in die flachse Richtung. Es geht ja gerade darum, dass alles über den Proxy geleitet werden soll (Siehe Ausgangsmail). Ein Proxy ist nähmlich ein sehr wichtiger Bestandteil einer Firewall. Und ein transparenter Proxy ist doppelt gut, weil er nicht umgangen werden kann (mal abgesehen von dem geringeren Administrationsaufwand). -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek wrote:
[...]
Ähm, das wäre sicherlich ein Schritt in die flachse Richtung.
Es geht ja gerade darum, dass alles über den Proxy geleitet werden soll (Siehe Ausgangsmail). Ein Proxy ist nähmlich ein sehr wichtiger Bestandteil einer Firewall. Und ein transparenter Proxy ist doppelt gut, weil er nicht umgangen werden kann (mal abgesehen von dem geringeren Administrationsaufwand).
Hilft Dir das: http://www.tecchannel.de/betriebssysteme/1241/22.html Ich habe das mal mit SLOS 7 von TechChannel eingerichtet. (Ist aber schon etwas her) Grusz Mathias -- CU in www.meeloon.de
Hilft Dir das: http://www.tecchannel.de/betriebssysteme/1241/22.html Ich habe das mal mit SLOS 7 von TechChannel eingerichtet. (Ist aber schon etwas her)
Ich habe das auf meinem Router einfach mit folgendem Befehl gemacht, welcher am Ende des Masquerading-Skripts aufgerufen wird: $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 $IPTABLES ist dabei (was wohl?) /sbin/iptables eth1 das Interface nach innen 3128 der Port, auf dem Squid horcht. Allerdings läuft der Router mit Debian Woody, aber bei Suse sollte das wohl ähnlich handzuhaben sein. Oder bin ich jetzt am Thema vorbei? Julian -- A little suffering is good for the soul. -- Kirk, "The Corbomite Maneuver", stardate 1514.0
Julian Wiersbitzki, Freitag 12 März 2004 17:26:
Hilft Dir das: http://www.tecchannel.de/betriebssysteme/1241/22.html Ich habe das mal mit SLOS 7 von TechChannel eingerichtet. (Ist aber schon etwas her)
Ich habe das auf meinem Router einfach mit folgendem Befehl gemacht, welcher am Ende des Masquerading-Skripts aufgerufen wird:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Ja, na sicher. Steht ja auch so im Handbuch (auf das schon verwiesen wurde). Natürlich dürfen die entsprechenden Rückkanäle u.s.w. nicht gesperrt werden. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
*** Frank Gerd Walzebuck
Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen?
ja, daß geht! Sowohl für http,
ja
als auch für ftp.
nein. das geht mit dem squid nicht. micha
Hallo Gordon, am 12.03.2004, um 09:33 h, schrieb Gordon Cichon:
Meine Frage: Kann man das Gateway so konfigurieren, dass der Zugriff auf die Proxies transparent wird? Z.B. dass alle ausgehenden TCP Requests mit Zielport 80 auf den Proxy im Sicherheitsnetz umgeleitet werden? Kann man sowas auch mit FTP machen?
Ja, du suchst proxy-suite -- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat RSA 2048 PGP Key 0xBBE4EC81 available
participants (8)
-
Dietmar Strasdat
-
Frank Gerd Walzebuck
-
Gordon Cichon
-
Joachim Kieferle
-
Julian Wiersbitzki
-
Mathias Uebel
-
Matthias Houdek
-
Michael Meyer