expertenaustausch > linux.debian.user.german

Gregor Schneider (04.11.2008, 19:50)
Hallo zusammen,

auch auf die Gefahr hin, dass das hier eigentlich die falsche
Mailingliste ist - vielleicht hat ja jemand eine Idee:

Ich moechte einem Freund im Ausland auf meinem Server einen Proxy zur
Verfuegung stellen, damit er dortige Zensurmassnahmen umgehen kann.

Daher sollte der Proxy folgendes koennen:

- Er sollte SSL-basiert sein (Request / Response also verschluesselt)

- er sollte beliebige URLs als Argument entgegennehmen, diese
requesten und dann SSL-verschluesselt zurueckleiten

- ideal waere natuerlich, wenn er Links im zurueckgelieferten HTML vor
auslieferung umsetzt auf die Proxy-Adresse

- er sollte Authentifizierung unterstuetzen, mindestens jedoch
Freigabe auf IP-Ebene

- Web-Interface waere klasse

- wenn moeglich, sollten beliebige Ports unterstuetzt werden (damit
dann auch Streaming o.ae. moeglich ist)

Also im Prinzip so eine aehnliche Funktionalitaet wie z.B. Anonymouse etc. -

Kennt jemand etwas in dieser Richtung?

Zur Zeit eingesetzte Kombination:

Apache 2.2 / mod_jk / Tomcat 5.5

Wenn's geht, moeglichst keine PHP-basierte Loesung - Perl, C, Java,
Python waeren perfekt!

Bin mal gespannt, ob Euch hierzu was einfaellt ;)

Gregor
Martin Reising (04.11.2008, 20:10)
On Tue, Nov 04, 2008 at 06:44:25PM +0100, Gregor Schneider wrote:
> Ich moechte einem Freund im Ausland auf meinem Server einen Proxy zur
> Verfuegung stellen, damit er dortige Zensurmassnahmen umgehen kann.


openvpn & squid
Michael Renner (04.11.2008, 20:40)
On Tuesday 04 November 2008, Gregor Schneider wrote:
> Hallo zusammen,


Moin,

> auch auf die Gefahr hin, dass das hier eigentlich die falsche
> Mailingliste ist - vielleicht hat ja jemand eine Idee:
> Ich moechte einem Freund im Ausland auf meinem Server einen Proxy zur
> Verfuegung stellen, damit er dortige Zensurmassnahmen umgehen kann.


eine Anleitung findest du hier. Wenn etwas unverständlich ist melde dich.

CU
Michael Renner (04.11.2008, 22:20)
On Tuesday 04 November 2008, Michael Renner wrote:
> On Tuesday 04 November 2008, Gregor Schneider wrote:
> > Hallo zusammen,

> Moin,


hab wohl den Link vergessen :-(



CU
Thomas Halinka (05.11.2008, 01:00)
Hallo zusammen,

Am Dienstag, den 04.11.2008, 19:03 +0100 schrieb Martin Reising:
> On Tue, Nov 04, 2008 at 06:44:25PM +0100, Gregor Schneider wrote:
> > Ich moechte einem Freund im Ausland auf meinem Server einen Proxy zur
> > Verfuegung stellen, damit er dortige Zensurmassnahmen umgehen kann.


wieso nutzt du denn nicht schon vorhandene Dienste, wie zB trollproxy?

> openvpn & squid


das ist allerdings nur die halbe Miete, denn oft muss man erst einmal
die FW überwinden... Port 80 ist meist frei/offen

ich ergänze daher

openvpn 2.1 (Optionen: port-share $IP 80; http-proxy localhost/wthatever
1080) und squid

Diese 2 Optionen lassen den openvpn-Server auch http-Anfragen
beantworten/umleiten, sodass man mit nem Browser http sprechen kann auf
port 80 und ERST wenn opvn-Pakete ankommen...

an sich ist auch squid optional, da theoretisch auch der vpn-server
gateway spielen könnte, dann wiederum wird halt alles durch den tunnel
gejagt...

ansonsten ist proxytunnel auch ganz nett ;)

Grüße

Thomas
Michael Renner (05.11.2008, 08:20)
On Tuesday 04 November 2008, Thomas Halinka wrote:
> Hallo zusammen,


Moin,

> Am Dienstag, den 04.11.2008, 19:03 +0100 schrieb Martin Reising:
> wieso nutzt du denn nicht schon vorhandene Dienste, wie zB trollproxy?
> das ist allerdings nur die halbe Miete, denn oft muss man erst einmal
> die FW überwinden... Port 80 ist meist frei/offen
> ich ergänze daher
> openvpn 2.1 (Optionen: port-share $IP 80; http-proxy localhost/wthatever
> 1080) und squid
> Diese 2 Optionen lassen den openvpn-Server auch http-Anfragen
> beantworten/umleiten, sodass man mit nem Browser http sprechen kann auf
> port 80 und ERST wenn opvn-Pakete ankommen...


Aber was macht der Zensor, wenn er auf Port 80 verschlüsselte Pakete sieht? Je
nachdem wie viel in die ..... Reinheit des Internets investiert wird geht das
sehr flott automatisch!

Schön ist allerdings die Möglichkeit, trotz OpenVPN 'richtige' Seiten per http
auszuliefern.
Bei meiner Methode werden nur reine, nicht als Tunnel zu erkennende SSL-Pakete
ausgeliefert. Allerdings fehlt hier die Möglichkeit für Neugierige 'richtige'
Seiten zu liefern.

CU
Bernhard Vodicka (05.11.2008, 09:40)
Am Mittwoch, den 05.11.2008, 07:18 +0100 schrieb Michael Renner:
> On Tuesday 04 November 2008, Thomas Halinka wrote:
> Moin,
> Aber was macht der Zensor, wenn er auf Port 80 verschlüsselte Paketesieht? Je
> nachdem wie viel in die ..... Reinheit des Internets investiert wird gehtdas
> sehr flott automatisch!


Dann statt Port 80 auf Port 443, unser "Reinwasch-Proxy" in der Schule
lässt z.B. SSH-Verbindungen über Port 443 drüber (da ja SSL)und hiermit
kann ich wunderschön auf tinyproxy tunneln!

Zusammengefasst: Meine Lösungen: SSH auf Port 443 und SSH-Tunnel auf den
tinyproxy-Port.

> Schön ist allerdings die Möglichkeit, trotz OpenVPN 'richtige' Seiten per http
> auszuliefern.
> Bei meiner Methode werden nur reine, nicht als Tunnel zu erkennende SSL-Pakete
> ausgeliefert. Allerdings fehlt hier die Möglichkeit für Neugierige 'richtige'
> Seiten zu liefern.
> CU


lg Bernhard
[..]
Michael Renner (05.11.2008, 21:30)
On Wednesday 05 November 2008, Bernhard Vodicka wrote:
> Am Mittwoch, den 05.11.2008, 07:18 +0100 schrieb Michael Renner:
> > On Tuesday 04 November 2008, Thomas Halinka wrote:
> > > Hallo zusammen,

> > Moin,


[...]

> Dann statt Port 80 auf Port 443, unser "Reinwasch-Proxy" in der Schule
> lässt z.B. SSH-Verbindungen über Port 443 drüber (da ja SSL) und hiermit
> kann ich wunderschön auf tinyproxy tunneln!


ich muss dir widersprechen. Wenn du ssh auf Port 443 machst ist das erste
Paket verräterisch (gut, die weiteren nicht mehr). Siehe diesen Screenshot:


Ein sshd lauscht auf Port 443 (192.168.5.98). Ein ssh baut von 192.168.5.14
aus eine Verbidnung auf diesen Port auf.

Wahrscheinlich könnte man den ssh neu compilieren nachdem der Sting
entsprechend angepasst wurde. Aber auch hier fällt mir als Zensor, Lehrer
oder jemand der in Staates Aufrag das Netz 'gesetzeskonform' filtern soll,
eine Methode ein das zu ermitteln. Automatisch, für jeden (!) https--Request.

Gleiches gilt wahrscheinlich für OpenVPN, das baue ich bei Gelegenheit mal
nach.

Zu erkennen ist meine Methode auch, jedoch nicht vom reinen zuschauen. Wenn
ich nur wüsste wie ich stunnel dazu bringe fake-Seiten auszuliefern? Über ein
Filter auf iptable-Basis, aber das ist recht aufwändig ....

> Zusammengefasst: Meine Lösungen: SSH auf Port 443 und SSH-Tunnel auf den
> tinyproxy-Port.


CU
Bernhard Vodicka (05.11.2008, 21:50)
Am Mittwoch, den 05.11.2008, 20:09 +0100 schrieb Michael Renner:
[..]
> entsprechend angepasst wurde. Aber auch hier fällt mir als Zensor, Lehrer
> oder jemand der in Staates Aufrag das Netz 'gesetzeskonform' filtern soll,
> eine Methode ein das zu ermitteln. Automatisch, für jeden (!) https--Request.


Ja, ist nachzuvollziehen, hatte bisher noch keinen Proxy, der da
draufgekommen ist!
> Gleiches gilt wahrscheinlich für OpenVPN, das baue ich bei Gelegenheit mal
> nach.
> Zu erkennen ist meine Methode auch, jedoch nicht vom reinen zuschauen. Wenn
> ich nur wüsste wie ich stunnel dazu bringe fake-Seiten auszuliefern?Über ein
> Filter auf iptable-Basis, aber das ist recht aufwändig ....


Dann müssten wir ein Tunneling-Programm bauen, das alle Daten in
"echten" https-Requests packt! ;-)
Oder hat das schon jemand?
[..]
Michael Renner (05.11.2008, 23:00)
On Wednesday 05 November 2008, Bernhard Vodicka wrote:

[...]

> Ja, ist nachzuvollziehen, hatte bisher noch keinen Proxy, der da
> draufgekommen ist!
> Dann müssten wir ein Tunneling-Programm bauen, das alle Daten in
> "echten" https-Requests packt! ;-)
> Oder hat das schon jemand?


ich probiere das bei Gelegenheit mal: mit iptables unterscheiden ob eine
statische Seite ausgeliefert wird. Statt auf den Port des stunnel müsste es
dann auf den https-Port eines Webservers gehen, der z.B. auf Port 3443
lauscht und entsprechend umgebogen wird.
Und ist die IP bekannt geht es zum stunnel durch, von dort weiter zum squid
und dann in die grosse weite Welt. Bleibt die Frage: was mache ich mit
dynamischen IPs?

CU
Ingo Juergensmann (05.11.2008, 23:20)
On Wed, Nov 05, 2008 at 08:44:51PM +0100, Bernhard Vodicka wrote:

> Dann müssten wir ein Tunneling-Programm bauen, das alle Daten in
> "echten" https-Requests packt! ;-)
> Oder hat das schon jemand?


apt-cache show httptunnel
....
Description: Tunnels a data stream in HTTP requests.
Creates a bidirectional virtual data stream tunnelled in
HTTP requests. The requests can be sent via a HTTP proxy
if so desired.
Ähnliche Themen