squid transparent und DSL-Router
Ich möchte in unserem Heimnetzwerk einen Proxy (squid) aufsetzen. Folgende Situation: mehrere PCs teilen sich einen DSL-Anschluss. Der Zugang erfolgt über einen externen DSL-Router von DLink (kleine Box). Alle PCs sind mit diesem Router per Ethernet verbunden. Dort läuft auch ein DHCP-Server. Nun möchte ich alle ausgehenden Verbindungen zuerst durch squid schleußen und mitprotokollieren bzw. diverse Inhalte mittels squidguard filtern. Der squid läuft auf einem eigenen Linux-PC, der ebenfalls an dem DSL-Router hängt. Ich bin squid-Neuling, aber soweit ich weiß, sollte squid dazu wohl im 'transparent' Modus laufen, oder? Zumindest möchte ich, dass man an den Clients möglichst keine Einstellungen tätigen muß. Die Frage ist nun, wie konfiguriere ich den squid so, daß eben zunächst _alle_ ausgehenden Anfragen über ihn laufen und keine direkten Verbindungen nach draußen am Proxy vorbei mehr möglich sind...?! -Tom
Am Samstag, den 08.01.2005, 23:40 +0100 schrieb Thomas Götz:
Ich bin squid-Neuling, aber soweit ich weiß, sollte squid dazu wohl im 'transparent' Modus laufen, oder? Zumindest möchte ich, dass man an den Clients möglichst keine Einstellungen tätigen muß.
Ähhm, ich sehe da ein Problem: Auch wenn ich mich mit der Konfiguration von transparenten Proxys nicht beschäftigt habe, so dürfte es schlichtweg nicht ohne weitere Änderungen funktionieren. Deine Rechner erhalten die Adressen, DNS, Gateway über DHCP vom Router. Dieser wird sich selbst als Defaultgateway bei den Clients per DHCP bekannt geben. Wenn nun deine Clients eine Anfrage über diesen Router rausschicken, dann wird deine Linuxbox davon wenig mitbekommen bzw. sich für diesen IP-Traffic nicht zuständig fühlen. Du solltest dann doch eher über die Linuxkiste routen, oder? Ciao, Torsten
Hallo, On Sunday 09 January 2005 01:42, Torsten Hallmann wrote:
Am Samstag, den 08.01.2005, 23:40 +0100 schrieb Thomas Götz:
Ich bin squid-Neuling, aber soweit ich weiß, sollte squid dazu wohl im 'transparent' Modus laufen, oder? Zumindest möchte ich, dass man an den Clients möglichst keine Einstellungen tätigen muß.
Ähhm, ich sehe da ein Problem: Auch wenn ich mich mit der Konfiguration von transparenten Proxys nicht beschäftigt habe, so dürfte es schlichtweg nicht ohne weitere Änderungen funktionieren. Deine Rechner erhalten die Adressen, DNS, Gateway über DHCP vom Router. Dieser wird sich selbst als Defaultgateway bei den Clients per DHCP bekannt geben. Wenn nun deine Clients eine Anfrage über diesen Router rausschicken, dann wird deine Linuxbox davon wenig mitbekommen bzw. sich für diesen IP-Traffic nicht zuständig fühlen.
Du solltest dann doch eher über die Linuxkiste routen, oder?
Das geht sicher auch anders (nein, ich habe auch noch nie einen transparenten Proxy aufgesetzt). Auf dem Router muss halt dafür gesorgt werden, dass alle ausgehenden Pakete, die auf einen Port 80 verbinden wollen zunächst umgebogen werden auf die Adresse des Proxies. Der kann dann ruhig auf einem (beliebigen) anderen Rechner liegen. Wäre ja auch bitter sonst ... Schöne Grüße von Stuhr nach Zürich! hartmut
Am Sonntag, den 09.01.2005, 10:04 +0100 schrieb Hartmut Meyer:
Das geht sicher auch anders (nein, ich habe auch noch nie einen transparenten Proxy aufgesetzt).
Auf dem Router muss halt dafür gesorgt werden, dass alle ausgehenden Pakete, die auf einen Port 80 verbinden wollen zunächst umgebogen werden auf die Adresse des Proxies. Der kann dann ruhig auf einem (beliebigen) anderen Rechner liegen. Wäre ja auch bitter sonst ...
Hallo Hartmut, Du meinst mit NAT per IP-Tables? Ob das auf dem Router geht? Ich dachte das wäre so eine kleine Router-Schachtel. Können die sowas? Ciao, Torsten
Hallo, On Sunday 09 January 2005 11:33, Torsten Hallmann wrote:
Am Sonntag, den 09.01.2005, 10:04 +0100 schrieb Hartmut Meyer:
Das geht sicher auch anders (nein, ich habe auch noch nie einen transparenten Proxy aufgesetzt).
Auf dem Router muss halt dafür gesorgt werden, dass alle ausgehenden Pakete, die auf einen Port 80 verbinden wollen zunächst umgebogen werden auf die Adresse des Proxies. Der kann dann ruhig auf einem (beliebigen) anderen Rechner liegen. Wäre ja auch bitter sonst ...
Du meinst mit NAT per IP-Tables? Ob das auf dem Router geht? Ich dachte das wäre so eine kleine Router-Schachtel. Können die sowas?
Hängt vom Gerät ab - meiner könnte es wohl. Aber man könnte ja auch einen anderen (Linux-)Rechner als DHCP-Server und Router nutzen, der dann als einziger Rechner im LAN den DSL-Router kennt. Auch dann müssten dieser Router (linux) und der Proxy nicht auf dem selben Rechner laufen. Schöne Grüße aus Stuhr hartmut
On Sunday 09 January 2005 12:02, Hartmut Meyer wrote:
On Sunday 09 January 2005 11:33, Torsten Hallmann wrote:
Am Sonntag, den 09.01.2005, 10:04 +0100 schrieb Hartmut Meyer:
Das geht sicher auch anders (nein, ich habe auch noch nie einen transparenten Proxy aufgesetzt).
Auf dem Router muss halt dafür gesorgt werden, dass alle ausgehenden Pakete, die auf einen Port 80 verbinden wollen zunächst umgebogen werden auf die Adresse des Proxies. Der kann dann ruhig auf einem (beliebigen) anderen Rechner liegen. Wäre ja auch bitter sonst ...
Du meinst mit NAT per IP-Tables? Ob das auf dem Router geht? Ich dachte das wäre so eine kleine Router-Schachtel. Können die sowas?
Hängt vom Gerät ab - meiner könnte es wohl.
Aber man könnte ja auch einen anderen (Linux-)Rechner als DHCP-Server und Router nutzen, der dann als einziger Rechner im LAN den DSL-Router kennt. Auch dann müssten dieser Router (linux) und der Proxy nicht auf dem selben Rechner laufen.
ok, das klingt interessant. Da ich in Sachen Netzwerk/Routing nicht so bewandt bin: wie muss ich mir das vorstellen, dass er als einziger Rechner im Netzwerk den DSL-Router kennt?! Also alle Clients bekommen IP-Adresse + Gateway von dem neu einzurichtenden linux-Router (+Proxy), und wie kommt das dann an den DSL-Router...? -Tom -- ------------------------------------------------------------------------ Thomas Götz German Cancer Research Center phone: +49-6221-424670 Central Spectroscopic Department mail : t.goetz@dkfz.de Im Neuenheimer Feld 280 ICQ : 22643485 D-69120 Heidelberg http://www.glycosciences.de/ ------------------------------------------------------------------------
Hallo, Am Montag, den 10.01.2005, 15:35 +0100 schrieb Thomas Götz:
On Sunday 09 January 2005 12:02, Hartmut Meyer wrote:
Da ich in Sachen Netzwerk/Routing nicht so bewandt bin: wie muss ich mir das vorstellen, dass er als einziger Rechner im Netzwerk den DSL-Router kennt?!
Also alle Clients bekommen IP-Adresse + Gateway von dem neu einzurichtenden linux-Router (+Proxy), und wie kommt das dann an den DSL-Router...?
auf diesem Router/Proxy richtest du einen dhcp-Server ein, der allen anderen Rechnern im Netz die IPs und Routing-Informationen beim Booten zuteilt. Du lässt den Rechnern mittteilen, dass sie alle ausgehenden Verbindungen über diesen Server zu realisieren haben. Dieser leitet sie dann an deinen DSL-Zugang weiter. Du richtest also nur auf dem Proxy-Server den DSL-Zugang ein - die anderen Computer wissen nur, dass sie alles an den Proxy schicken sollen... Dass die Daten zusätzlich noch durch einen (transparenten) Proxy geschickt werden, brauchen sie auch nicht zu wissen... HTH Martin
Ergänzung: Der Proxyserver weiß dann bei korrekt eingerichtetem DSL-Zugang die entsprechenden Routen ins Internet und Intranet. Er kann dann die Pakete korrekt verteilen... Martin
On Monday 10 January 2005 15:52, Hans-Martin Flesch wrote:
Also alle Clients bekommen IP-Adresse + Gateway von dem neu einzurichtenden linux-Router (+Proxy), und wie kommt das dann an den DSL-Router...?
auf diesem Router/Proxy richtest du einen dhcp-Server ein, der allen anderen Rechnern im Netz die IPs und Routing-Informationen beim Booten zuteilt. Du lässt den Rechnern mittteilen, dass sie alle ausgehenden Verbindungen über diesen Server zu realisieren haben. Dieser leitet sie dann an deinen DSL-Zugang weiter. Du richtest also nur auf dem Proxy-Server den DSL-Zugang ein - die anderen Computer wissen nur, dass sie alles an den Proxy schicken sollen... Dass die Daten zusätzlich noch durch einen (transparenten) Proxy geschickt werden, brauchen sie auch nicht zu wissen...
ok, eine Frage noch dazu: der DSL-Zugang muss also an dem neuen Router/Proxy eingerichtet werden. Heisst das, dass ich dann das DSL-Modem direkt an diesen Rechner klemmen muss (mittels zweiter Ethernet-Karte), oder kann das so wie jetzt an dem externen DSL-Router verbleiben, der dann prakitsch nur als Switch fungiert? Oder hab' ich da prinzipiell was falsch verstanden? ;-) -Tom -- ------------------------------------------------------------------------ Thomas Götz German Cancer Research Center phone: +49-6221-424670 Central Spectroscopic Department mail : t.goetz@dkfz.de Im Neuenheimer Feld 280 ICQ : 22643485 D-69120 Heidelberg http://www.glycosciences.de/ ------------------------------------------------------------------------
Am Montag, den 10.01.2005, 16:47 +0100 schrieb Thomas Götz:
der DSL-Zugang muss also an dem neuen Router/Proxy eingerichtet werden. Heisst das, dass ich dann das DSL-Modem direkt an diesen Rechner klemmen muss (mittels zweiter Ethernet-Karte), oder kann das so wie jetzt an dem externen DSL-Router verbleiben, der dann prakitsch nur als Switch fungiert? Oder hab' ich da prinzipiell was falsch verstanden? ;-)
Prinzipiell sind beide Wege möglich. Allerdings sollte dann nur der Proxy an dem externen DSL-Router angeschlossen werden, die anderen Rechner sollten physikalisch "auf der anderen Seite" des Proxys sein. Sonst könnte immer noch Datenverkehr am Proxy vorbeigeschleust werden. Du brauchst dann also im Intranet auch wieder eine Switch oder einen Hub... Martin
-----Ursprüngliche Nachricht----- Von: Thomas Götz [mailto:tom@richmountain.de] Gesendet: Montag, 10. Januar 2005 15:36 An: suse-linux@suse.com Betreff: Re: squid transparent und DSL-Router
On Sunday 09 January 2005 12:02, Hartmut Meyer wrote:
On Sunday 09 January 2005 11:33, Torsten Hallmann wrote:
Am Sonntag, den 09.01.2005, 10:04 +0100 schrieb Hartmut Meyer:
Das geht sicher auch anders (nein, ich habe auch noch nie einen transparenten Proxy aufgesetzt).
Auf dem Router muss halt dafür gesorgt werden, dass alle ausgehenden Pakete, die auf einen Port 80 verbinden wollen zunächst umgebogen werden auf die Adresse des Proxies. Der kann dann ruhig auf einem (beliebigen) anderen Rechner liegen. Wäre ja auch bitter sonst ...
Du meinst mit NAT per IP-Tables? Ob das auf dem Router geht? Ich dachte das wäre so eine kleine Router-Schachtel. Können die sowas?
Hängt vom Gerät ab - meiner könnte es wohl.
Aber man könnte ja auch einen anderen (Linux-)Rechner als DHCP-Server und Router nutzen, der dann als einziger Rechner im LAN den DSL-Router kennt. Auch dann müssten dieser Router (linux) und der Proxy nicht auf dem selben Rechner laufen.
ok, das klingt interessant.
Da ich in Sachen Netzwerk/Routing nicht so bewandt bin: wie muss ich mir das vorstellen, dass er als einziger Rechner im Netzwerk den DSL-Router kennt?!
Also alle Clients bekommen IP-Adresse + Gateway von dem neu einzurichtenden linux-Router (+Proxy), und wie kommt das dann an den DSL-Router...?
indem Du dem Linux-Router wiederum die IP-Adresse des DSL-Routers als Gateway angibst! -Peter
Hallo Thomas, so einfach geht das nicht, du hast einen Router der die DAten wie DNS u nd Gateway hergibt. Ich habe hier einen squid laufen, der transparent ist, der ist aber zugleich DSL Router. Das solltest Du in erwägung ziehen. Ich denke, es geht nur so richtig. In deinem Fall könnte eine Anfrage ganz leicht am Proxy vorbei zum Router gelangen. Einen Router mit der Kiste zu machen ist übrigens sehr einfach. Gruß Can -- ___________________________________________________________________ Can-Carlo Dörtbudak Registered Linux User #314644 www.doertbudak.de ___________________________________________________________________
On Sunday 09 January 2005 09:35, Can-Carlo Dörtbudak wrote:
so einfach geht das nicht, du hast einen Router der die DAten wie DNS u nd Gateway hergibt.
Ich habe hier einen squid laufen, der transparent ist, der ist aber zugleich DSL Router. Das solltest Du in erwägung ziehen. Ich denke, es geht nur so richtig. In deinem Fall könnte eine Anfrage ganz leicht am Proxy vorbei zum Router gelangen.
Einen Router mit der Kiste zu machen ist übrigens sehr einfach.
ok, kannst du mir dazu evtl. nähere du deiner Konfiguration geben? Hast du eine spezielle Router-Software wie fli4l o.ä. laufen? Ausserdem brauche ich dann wohl noch ein Switch für die Verkabelung, oder? Bisher steckt alles an der DSL-Router-Box ...?! -Tom
participants (6)
-
Can-Carlo Dörtbudak -
Hans-Martin Flesch -
Hartmut Meyer -
peter grotz -
Thomas Götz -
Torsten Hallmann