Re: [PUG] Proxy/Firewall Kompaktloesungen
On Friday 17 September 2004 21:58, Ridvan Agar wrote: Hallo Admins, hallo Leute ! Ich htte gern Vorschlaege ber ein Proxy/Firewall Kompaktlsungen. Welche sind euere Lieblings Kombigerte? Selbst frickeln unerwnscht. Wenn's geht mit Hinweisen auf die Preise. www.astaro.de Gruss Thomas PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Proxy/Firewall Kompaktloesungen
Hallo Admins, hallo Leute ! Ich htte gern Vorschlaege ber ein Proxy/Firewall Kompaktlsungen. Welche sind euere Lieblings Kombigerte? Selbst frickeln unerwnscht. Wenn's geht mit Hinweisen auf die Preise. Gru Euer Ridvan PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Proxy
Hallo Liste, wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? Danke für Hilfe Frank PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Frank sagte: wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? Den letzten Teil der Frage verstehe ich nicht so ganz, aber damit der Squid-Proxy funktioniert, brauchst Du weder Routing, noch IP-Forwarding, noch Masquerading. Squid spielt sich rein auf Applikationsebene ab. -martin -- Schmitt Systemberatung Giessener Str. 18 35415 Pohlheim Deutschland/Germany Tel. +49(64 03)9 69 08 78 Fax +49(64 03)9 69 08 79 http://www.scsy.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Quoting Frank [EMAIL PROTECTED]: Hallo Liste, Hallo! wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? 1. Also was meinst Du denn mit als Router konfigurieren??? 2. Für eth1 brauchst Du gar keine Netzwerkadresse zu vergeben! 3. Wie sehen denn die ACL's für squid aus?? 4. Ist die default-Route auch richtig gesetzt?? Letztendlich: Beschreib doch einfach mal Dein Problem, dann kann man Dir vielleicht einfacher helfen. Grüsse Tobi PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Am Montag, 10. Februar 2003 13:50 schrieb Frank: Hallo Liste, wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Wenn Du schon einen DSL-Router hast, wieso willst Du dann noch einen Proxy? Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? Wenn die Netzwerke physisch nicht verbunden sind, dann muss Dein Rechner auch routen können: iptables -A FORWARD -p tcp -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE cat 1 /proc/sys/net/ipv4/ip_forward Dann solltest Du noch eine Firewall zusammenbasteln und den Host sicher machen. Also alle unnötigen Services deaktivieren, etc... Ich übernehme aber für die Anweisungen oben keine Garantie, hab' gerade keine man-pages da, also schau lieber noch mal nach. -- +Max Trense +[EMAIL PROTECTED] PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Also... Das Problem ist, dass unser PDC (win2k) mit Exchange Server läuft. Darauf wiederum dieses POPconnect zum Mailabholen, und den krieg ich einfach nicht durch den Linux Rechner durch.So muss ich also den Switch auch noch an den DSL Douter klemmen - eigentlich nicht im Sinne de Erfinders, denke ich. Wie krieg ich das also hin, dass wirklich nur ein Kabel - nämlich das aus der Linux Kiste - am Router hängt? So chaotisch wie es klingt, sieht's auch aus... Max Trense schrieb: Am Montag, 10. Februar 2003 13:50 schrieb Frank: Hallo Liste, wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Wenn Du schon einen DSL-Router hast, wieso willst Du dann noch einen Proxy? Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? Wenn die Netzwerke physisch nicht verbunden sind, dann muss Dein Rechner auch routen können: iptables -A FORWARD -p tcp -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE cat 1 /proc/sys/net/ipv4/ip_forward Dann solltest Du noch eine Firewall zusammenbasteln und den Host sicher machen. Also alle unnötigen Services deaktivieren, etc... Ich übernehme aber für die Anweisungen oben keine Garantie, hab' gerade keine man-pages da, also schau lieber noch mal nach. PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Frank sagte: Das Problem ist, dass unser PDC (win2k) mit Exchange Server läuft. Darauf wiederum dieses POPconnect zum Mailabholen, und den krieg ich einfach nicht durch den Linux Rechner durch.So muss ich also den Switch auch noch an den DSL Douter klemmen - eigentlich nicht im Sinne de Erfinders, denke ich. Wie krieg ich das also hin, dass wirklich nur ein Kabel - nämlich das aus der Linux Kiste - am Router hängt? So chaotisch wie es klingt, sieht's auch aus... Klingt für mich überhaupt nicht chaotisch, sondern hört sich so ähnlich an, wie mein Netzwerk zuhause. Der Ethernet-Port vom DSL-Router (Draytek) steckt bei mir auf dem Switch, auf dem auch die Workstations und Server stecken. Auf unserem Fileserver läuft ein Proxy, den ich entweder für den WWW-Zugriff benutzen kann, oder nicht. Wenn nicht, gehe ich einfach über das 1:n-NAT des Routers raus. Wenn Du die Linux-Kiste nochmal zusätzlich als Firewall einsetzen willst, brauchst Du dort ein weiteres IP-Masquerading. Aber meine Erfahrung ist eigentlich, daß doppeltes 1:n-NAT mehr Fragen aufwirft, als es beantwortet. -martin -- Schmitt Systemberatung Giessener Str. 18 35415 Pohlheim Deutschland/Germany Tel. +49(64 03)9 69 08 78 Fax +49(64 03)9 69 08 79 http://www.scsy.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Zunächsteinmal, stellt sich die Frage ob die Strecke zwischen DSL-Router und Linux-Kiste nicht eine andere Netzwerkadressierung bekommen kann? bzw.: Warum nehmt ihr nicht einfach den DSL-Router aus dem Netz das macht die Sache einfacher??? Eine DSL-Konfiguration geht unter Linux im Handumdrehen. Denn zwischen zwei gleichen Netzwerkadressbreichen zu routen ist schwer bis unmöglich. Weiterhing solltest Du Dich mit iptables, als Paketfilter vertaut machen, denn damit lässt sich NAT (Network Adress Translation)bzw Masquerading einrichten, welches hier nötig ist. Zudem eignen sich die iptables auf als Paket-Filtering-Firewall. Eine einfache (allerdings gefährliche, weil offene) iptables-Regel-Sammlung wäre: iptables -A FORWARD -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j MASQUERADE Wichtig ist bei der Verwendung der iptables die Freischaltung des IP-Forwardings: echo 1 /proc/sys/net/ipv4/ip_forward Und die Einrichtung der entsprechenden Einträge für route. Als Alternative besteht noch die Möglichkeit einen Mail-Gateway einzurichten. Das ist allerding genauso wenig Trivial wie eine Firewall mit iptables. Bei Bedarf maile ich Dir gerne mal meine iptables-Definitionen zu. Gruss Tobi Quoting Frank [EMAIL PROTECTED]: Also... Das Problem ist, dass unser PDC (win2k) mit Exchange Server läuft. Darauf wiederum dieses POPconnect zum Mailabholen, und den krieg ich einfach nicht durch den Linux Rechner durch.So muss ich also den Switch auch noch an den DSL Douter klemmen - eigentlich nicht im Sinne de Erfinders, denke ich. Wie krieg ich das also hin, dass wirklich nur ein Kabel - nämlich das aus der Linux Kiste - am Router hängt? So chaotisch wie es klingt, sieht's auch aus... Max Trense schrieb: Am Montag, 10. Februar 2003 13:50 schrieb Frank: Hallo Liste, wir haben ein kleines LAN am Switch hängen. Am Switch hängt ein Linux Rechner mit eth0 als Proxy (Squid), eth1 geht in den DSL Router nach draussen. Wenn Du schon einen DSL-Router hast, wieso willst Du dann noch einen Proxy? Muss ich den Linux PC als Router konfigurieren oder müsste das auch so gehen, wenn für beide eth der selbe Netzwerkbereich festgelegt wurde (192.168.0.xxx)? Wenn die Netzwerke physisch nicht verbunden sind, dann muss Dein Rechner auch routen können: iptables -A FORWARD -p tcp -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE cat 1 /proc/sys/net/ipv4/ip_forward Dann solltest Du noch eine Firewall zusammenbasteln und den Host sicher machen. Also alle unnötigen Services deaktivieren, etc... Ich übernehme aber für die Anweisungen oben keine Garantie, hab' gerade keine man-pages da, also schau lieber noch mal nach. PUG - Penguin User Group Wiesbaden - http://www.pug.org PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re[2]: [PUG] Proxy
Guten Tag Frank, am Montag, 10. Februar 2003 um 14:19 schrieben Sie: F Also... F Das Problem ist, dass unser PDC (win2k) mit Exchange Server läuft. F Darauf wiederum dieses POPconnect zum Mailabholen, und den krieg ich F einfach nicht durch den Linux Rechner durch.So muss ich also den Switch F auch noch an den DSL Douter klemmen - eigentlich nicht im Sinne de F Erfinders, denke ich. F Wie krieg ich das also hin, dass wirklich nur ein Kabel - nämlich das F aus der Linux Kiste - am Router hängt? F So chaotisch wie es klingt, sieht's auch aus... Hi, also ich habe das folgendermassen gelöst: DSLMODEM---DSLRouter | | | |-LinuxserverS-w-i-t-c-H | || WS1 WS2 WS3 Routingtabelle: ZielRouter Genmask Flags Metric RefUse Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 00 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 00 eth0 default 192.168.2.1 Der LinuxServer hat 2 Netzwerkkarten aus 2 Teilnetzen: 192.168.0.0 für das interne Netz 192.168.2.0 für das externe Netz (Richtung DSL) 192.168.2.1 ist die IP-Adresse vom DSL-Roter eth1 muss nur im gleichen Teilnetz liegen z.B. 192.168.2.55 Im internen Netz (WS1-WS3) wird der LinuxServer als Standard-Gateway eingetragen. Masquerading und IP-Forwaring muss natürlich auch eingetragen werden. Ich mach das mit Personal-FW Suse 7.3, (die Regeln kann man da natürlich auch von Hand ändern) man muss nur das Device angeben (eth1 masq) Der DSL-Router (Barricade von SMC) hat auch nochmal ne Firewall eingebaut. Maximum Idle Time = 3 Minuten. ... würde mich ja mal persönlich interessieren, wie sicher das Gebilde ist!!! P.S. Samba als PDC ist auch ne Lösung!!! -- Mit freundlichen Grüssen Stefan Classmailto:[EMAIL PROTECTED] PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re[2]: [PUG] Proxy
Guten Tag Frank, am Montag, 10. Februar 2003 um 16:09 schrieben Sie: F kann ich dann bei der konstellation denn samba noch nutzen? oder sollte F man das aus sicherheitsgründen nicht tun? Der DSL-Router (Barricade von SMC) hat auch nochmal ne Firewall eingebaut. Maximum Idle Time = 3 Minuten. ... würde mich ja mal persönlich interessieren, wie sicher das Gebilde ist!!! P.S. Samba als PDC ist auch ne Lösung!!! Also Samba auf einem Firewallrechner würde ich nicht für gut heissen, aber da ist ja nochmal ne Firewall davor. Vielleicht hat da noch jemand ne Meinung??? -- Mit freundlichen Grüssen Stefan Classmailto:[EMAIL PROTECTED] PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Hi, On Mon, Feb 10, 2003 at 01:19:27PM +, Frank wrote: Das Problem ist, dass unser PDC (win2k) mit Exchange Server läuft. Darauf wiederum dieses POPconnect zum Mailabholen, und den krieg ich einfach nicht durch den Linux Rechner durch.So muss ich also den Switch auch noch an den DSL Douter klemmen - eigentlich nicht im Sinne de Erfinders, denke ich. Ich hab dein Problem noch nicht verstanden, ich mal das mal auf: DSL | +---+ +--+ | Win2k PDC mit POP |--| Linux DSL Router | +---+ | +--+ | +-+ | | Würgstation |-+ +-+ | | +-+ | | Würgstation |-+ +-+ | | +-+ | | Würgstation |-+ +-+ Wenn du von den Würgstations Mail mit pop3 abholen willst mußt du das dich an den PDC connecten, das hat mit dem DSL Nichts zu tun. Wie krieg ich das also hin, dass wirklich nur ein Kabel - nämlich das aus der Linux Kiste - am Router hängt? So chaotisch wie es klingt, sieht's auch aus... Du hast da noch einen Hardware-Router dazwischen? bis denn -- May the source be with you! PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Proxy
Hallo Gemeinde! Freu mich hier zu sein als Neuling :-) Habe da auch gleich ein Problem: In einem LAn läuft ein Microdoof Exchange Server, vor dem DSL Router hängt ein SUSE Rechner mit 2 Netzwerkkarten (eine für WAN und eine für LAN). Jetzt bekomme ich aber keine Mails über den Exchange raus oder rein. Auf dem Linux Teil läuft Squid als HTTP Proxy. Mit fetchmail etc. kann ich mails vom POP3 meines ISP abholen und an den Exchange weitergeben. Kann ich auch die Mails vom Exchange über Linux rausschicken? Danke! Frank PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy
Gude! Ja, Du kannst die Mails vom Exchange über Linux rausschicken. --- [EMAIL PROTECTED] schrieb: Hallo Gemeinde! Freu mich hier zu sein als Neuling :-) Habe da auch gleich ein Problem: In einem LAn läuft ein Microdoof Exchange Server, vor dem DSL Router hängt ein SUSE Rechner mit 2 Netzwerkkarten (eine für WAN und eine für LAN). Jetzt bekomme ich aber keine Mails über den Exchange raus oder rein. Auf dem Linux Teil läuft Squid als HTTP Proxy. Mit fetchmail etc. kann ich mails vom POP3 meines ISP abholen und an den Exchange weitergeben. Kann ich auch die Mails vom Exchange über Linux rausschicken? Danke! Frank PUG - Penguin User Group Wiesbaden - http://www.pug.org __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Proxy wanted
Hallo, kennt jemand eine Möglichkeit mit squid active-x zu unterbieten? Ich habe eben schon mal gegoogelt aber nichts Richtiges gefunden. Hat jemand einen Proxy im Einsatz der sowas kann?! Danke und Gruss Thomas PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy wanted
Ich versuch's mal: Ein ActiveX-Komponent wird mit object-Tag in HTML eingebettet. z.B. sieht der Quellcode einer Seite mit ActiveX so aus html body A HREF=http://www.halcyon.com/mclain/ActiveX; OBJECT ID=Exploder1 WIDTH=86 HEIGHT=31 CODEBASE=Exploder.ocx CLASSID=CLSID:DE70D9E3-C55A-11CF-8E43-780C02C10128 PARAM NAME=_Version VALUE=65536 PARAM NAME=_ExtentX VALUE=2646 PARAM NAME=_ExtentY VALUE=1323 PARAM NAME=_StockProps VALUE=0 Exploder Control! /OBJECT /A Der wert vom Attribute CODEBASE verrät uns den ActiveX-Komponent. EinLösungsvorschlag ohne gewähr :-)) Ich kenne mich mit squid-config-syntax nicht ausfindig aus, folgende squid.conf-regeln habe ich vom nimda-wurm-schutz-syntax abgeguckt. (Nicht getestet, bitte auf Syntax-Fehlern suchen) Im squid.conf Definiere ein so acl acl boese_activex urlpath_regex -i \.ocx$ und dann so ein Regel http_access deny boese_activex So werden die dateien mit .ocx-Endung vom squid gefiltert. Danach kann es auch getestet werden. Wenn Du nicht weisst wie, dann ruf' mich an. Ich kann net mehr schreiben(es dauert ja ewig:-)) --- Thomas Borger [EMAIL PROTECTED] schrieb: Hallo, kennt jemand eine Möglichkeit mit squid active-x zu unterbieten? Ich habe eben schon mal gegoogelt aber nichts Richtiges gefunden. Hat jemand einen Proxy im Einsatz der sowas kann?! Danke und Gruss Thomas PUG - Penguin User Group Wiesbaden - http://www.pug.org __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Yahoo! präsentiert als offizieller Sponsor das Fußball-Highlight des Jahres: - http://www.FIFAworldcup.com PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Proxy wanted
--- Cöpcü Cöp [EMAIL PROTECTED] schrieb: Ich versuch's mal: Ein ActiveX-Komponent wird mit object-Tag in HTML eingebettet. z.B. sieht der Quellcode einer Seite mit ActiveX so aus html body A HREF=http://www.halcyon.com/mclain/ActiveX; OBJECT ID=Exploder1 WIDTH=86 HEIGHT=31 CODEBASE=Exploder.ocx CLASSID=CLSID:DE70D9E3-C55A-11CF-8E43-780C02C10128 PARAM NAME=_Version VALUE=65536 PARAM NAME=_ExtentX VALUE=2646 PARAM NAME=_ExtentY VALUE=1323 PARAM NAME=_StockProps VALUE=0 Exploder Control! /OBJECT /A Der wert vom Attribute CODEBASE verrät uns den ActiveX-Komponent. EinLösungsvorschlag ohne gewähr :-)) Ich kenne mich mit squid-config-syntax nicht ausfindig aus, folgende squid.conf-regeln habe ich vom nimda-wurm-schutz-syntax abgeguckt. (Nicht getestet, bitte auf Syntax-Fehlern suchen) ... habe getestet, O.K. Im squid.conf Definiere ein so acl acl boese_activex urlpath_regex -i \.ocx$ und dann so ein Regel http_access deny boese_activex So werden die dateien mit .ocx-Endung vom squid gefiltert. Es wird tatsächlich nicht zugelassen :-) Squid gibt Deny-message raus. Danach kann es auch getestet werden. Wenn Du nicht weisst wie, dann ruf' mich an. Ich kann net mehr schreiben(es dauert ja ewig:-)) ... brauchst net anzurufen. Definiere die acl und den Regel, danach den Befehl squid -k reconfigure auführen. Eine Testseite habe ich unter http://cbfrankfurt.no-ip.com/boeseactivex/index.html erstellt. IE wird das Exploder.ocx runterladen und installieren, wenn das klappt dann hat squid versagt :-)) Auf jedem Fall mein squid hat es nicht erlaubt die Datei Exploder.ocx runterzuladen. ABER wenn ein ActiveX schon auf dem system installiert ist dann hat es ja mit squid nichts zutun. --- Thomas Borger [EMAIL PROTECTED] schrieb: Gruß Ridvan __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Yahoo! präsentiert als offizieller Sponsor das Fußball-Highlight des Jahres: - http://www.FIFAworldcup.com PUG - Penguin User Group Wiesbaden - http://www.pug.org
