expertenaustausch > linux.debian.user.german

Simon Neumeister (27.10.2006, 11:00)
Hallo

auf der Suche nach einer Möglich zu verhindern immer den Proxy für
verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee
gekomen einen transparenten Proxy zu nutzen.

Jetzt stellt sich nur die Frage wie sich das am geschicktesten
realisieren lässt: mit iptables oder mit einem daemon im userspace ?

Das Netz schaut folgendermaßen aus:

[client] -- privates netz 1 -- [router] -- privtes netz 2 -- [proxy] --
internet (http(s))

auf dem router soll eben per iptables o.ä. alles was http oder ftp ist
und vom client kommt an den proxy geschickt werden. alles andere wird
normal 'gemasqueraded'.
Paul Puschmann (27.10.2006, 11:20)
On Fri, Oct 27, 2006 at 10:57:07AM +0200, Simon Neumeister wrote:
[..]
> auf dem router soll eben per iptables o.ä. alles was http oder ftp ist
> und vom client kommt an den proxy geschickt werden. alles andere wird
> normal 'gemasqueraded'.


Was leider nicht alle Programme unterstützen:
die "automatische Suche" der richtigen Einstellung

Opera, IE, Firefox, Mozilla (und sicher auch Konqueror (ungetestet)
kannst du eine wpad.dat oder proxy.pac Datei vorsetzen in der du mit
einfachem Javascript definierst welche Adressen per welchem Proxy
angesteuert werden sollen und welche Adressen direkt verbunden werden
sollen.

Du kannst in der Einstellungsdatei auch teilweise Wildcards verwenden
wie 192.168.0.*.

Ich glaube allerdings nicht, dass das auch für andere "einfache"
Programme wie apt-get und andere möglich ist. Dafür bräuchtest du
sicher dann einen transparenten Proxy, der dann das gleiche macht.
Tobias Krais (27.10.2006, 11:30)
Hi Simon,

> auf der Suche nach einer Möglich zu verhindern immer den Proxy für
> verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee
> gekomen einen transparenten Proxy zu nutzen.
> Jetzt stellt sich nur die Frage wie sich das am geschicktesten
> realisieren lässt: mit iptables oder mit einem daemon im userspace ?


ich habe das selbe szenario hier und nutze dazu als Proxy den Squid /
Dansguardian. Ich verwende iptables um den Proxy transparent zu machen.
Aber achte darauf, dass du die Squid Config anpassen musst: Google mit
"Squid transparenter Proxy iptables" füttern und lesen...

Grüßle, Tobias
Simon Neumeister (27.10.2006, 11:40)
Am Freitag, 27. Oktober 2006 11:21 schrieb Tobias Krais:
> Hi Simon,
> ich habe das selbe szenario hier und nutze dazu als Proxy den Squid /
> Dansguardian. Ich verwende iptables um den Proxy transparent zu
> machen. Aber achte darauf, dass du die Squid Config anpassen musst:
> Google mit "Squid transparenter Proxy iptables" füttern und lesen...


guter Hinweis:
laut:
kan man kein HTTPS / FTP über den transparent Proxy betreiben, damit
fällt das dann wohl leider aus....
Tobias Krais (27.10.2006, 11:50)
Hi Simon,,

> guter Hinweis:
> laut:
> kan man kein HTTPS / FTP über den transparent Proxy betreiben, damit
> fällt das dann wohl leider aus....


käme einer man-in-the-middle Attacke gleich. Demnach würde es für dein
Problem gar keine Realisierbare Lösung geben. Aber was ist der Zweck
deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP) drüber
laufen lässt und die anderen Port frei raus lässt.

Grüßle, Tobias
Simon Neumeister (27.10.2006, 12:30)
Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais:

Hi Tobias
> käme einer man-in-the-middle Attacke gleich. Demnach würde es für
> dein Problem gar keine Realisierbare Lösung geben. Aber was ist der
> Zweck deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP)
> drüber laufen lässt und die anderen Port frei raus lässt.


schade, wie es aussieht gibt es dann wohl keine Lösung für mich.
Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen.
Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids,
sondern eben nur auf den Router.

Trotzdem Danke für die Hilfe :-)
Peter Kuechler (27.10.2006, 13:00)
Am Freitag, 27. Oktober 2006 12:30 schrieb Simon Neumeister:
> Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais:
> Hi Tobias
> schade, wie es aussieht gibt es dann wohl keine Lösung für mich.


Doch, gibt es.

> Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen.


Na also, dann leite HTTP über den Squid, HTTPS direkt und ftp kannst du so
realisieren:

Christian Knoke (27.10.2006, 13:50)
Du schriebst am 27. Oct um 12:30 Uhr:
> Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais:
> Hi Tobias
> schade, wie es aussieht gibt es dann wohl keine Lösung für mich.
> Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen.


Wwwoffle kann beides (https natürlich nicht gecacht):



> Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids,
> sondern eben nur auf den Router.


Zugriff auf die Konfiguration brauchst Du natürlich schon.

Gruß
Christian
Simon Neumeister (27.10.2006, 15:00)
Am Freitag, 27. Oktober 2006 12:58 schrieb Peter Kuechler:
> Am Freitag, 27. Oktober 2006 12:30 schrieb Simon Neumeister:


> Doch, gibt es.
> Na also, dann leite HTTP über den Squid, HTTPS direkt und ftp kannst
> du so realisieren:
>


das sieht interessant aus. Wie es scheint kann der ja auch mit einem
Web-Cache zusammen, eben Squid o.ä.
Simon Neumeister (27.10.2006, 15:10)
Am Freitag, 27. Oktober 2006 13:58 schrieb Christian Knoke:
> Du schriebst am 27. Oct um 12:30 Uhr:


> > schade, wie es aussieht gibt es dann wohl keine Lösung für mich.
> > Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy
> > laufen.

> Wwwoffle kann beides (https natürlich nicht gecacht):
>

ich will nicht selbst einen Proxy aufsetzen sondern will einen
existierenden für mich transparenter zu machen..... d.h. dass ich nicht
mehr im Browser, $http_proxy, etc. den proxy eintragen will sondern die
Einstellungen immer geich sind egal ob ich in meinem Netz mit dem Proxy
bin oder in einem anderen bei dem es keien gibt.
Peter Kuechler (27.10.2006, 18:00)
Am Freitag, 27. Oktober 2006 15:00 schrieb Simon Neumeister:
> Am Freitag, 27. Oktober 2006 12:58 schrieb Peter Kuechler:
> das sieht interessant aus. Wie es scheint kann der ja auch mit einem
> Web-Cache zusammen, eben Squid o.ä.


Ja sicher, sind ja auch zwei getrennte Programme, die an unterschiedlichen
Ports lauschen. Sie haben erstmal nichts miteinander zu tun;-)

Jedes übernimmt seinen Part.
Aleks (27.10.2006, 18:00)
Simon Neumeister wrote:
[..]
> auf dem router soll eben per iptables o.ä. alles was http oder ftp ist
> und vom client kommt an den proxy geschickt werden. alles andere wird
> normal 'gemasqueraded'.

Hallo Simon,
lies mal das hier:


Hier findest Du wohl alles was Du brauchst..

Gruß,
Aleks
Spiro Trikaliotis (27.10.2006, 20:30)
Hallo Simon,

Simon Neumeister schrieb:

> schade, wie es aussieht gibt es dann wohl keine Lösung für mich.
> Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen.
> Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids,
> sondern eben nur auf den Router.


Eventuell hilft dir auch die automatische Konfiguration des Webbrowsers
weiter?



Für FTP setzt es natürlich voraus, dass du den Webbrowser dafür
benutzt.

HTH,
Spiro.
Ähnliche Themen