Hi, David... On Thursday 12 January 2006 21:29, David Burau wrote: > bei uns soll ein Netzwerk von ca 80 Rechnern ans Internet > angeschlossen werden. > HTTP und FTP sollen über einen Proxy laufen. > Da dachte ich an Squid.
Sofern keine FTP-Uploads gewünscht sind, würde ich auch Squid nehmen. Wenn du kannst (und etwas Sicherheit benötigst), dann lass den Squid aber im normalen "Forwarding"-Proxy-Modus laufen. Es ist eine zunehmende Unsitte, "Interception"-Proxying zu veranstalten und sich nur in Port 80-Traffic einzuschalten. Verteil eine proxy.pac und lass die Clients direkt den Proxy nutzen. Dann klappt's auch sauber mit anderen Ports, über die HTTP gesprochen wird und auch HTTPS und FTP lassen sich einigermaßen kontrollieren. (Das Argument, sowas geht nicht in großen Netzen, lasse ich eher nicht gelten. Hier geht das in einem Netz mit 10.000 PCs.) > Alles andere (Mails, Chats, Filesharing etc.) soll weiter an einen > Router gereicht werden. Halte ich sicherheitstechnisch in so einem großen Netzwerk für mich persönlich für indiskutabel. Allerdings denke ich da auch eher an Firmennetze. Da du von Filesharing sprichst, sieht das eher nach einem Uni-Netz o.ä. aus. In meinem Umfeld erlaube ich Kommunikation nur über Proxys bzw. Dienste. Mail macht ein MTA. HTTP-Zugriffe laufen über einen Proxy. Und nur, was man wirklich nicht über einen Applikation-Level-Proxy abgefackelt bekommt, lässt man direkt durch. > Das würde ich mit iptables machen. > Erst einmal soll alles an Diensten erlaubt sein. > Jedoch würden wir gerne die Bandbreite für betsimmte Dienste > einschränken. Bau dir ein mehr oder weniger simples Traffic-Shaping-Skript. Im Linux-Magazin war vor wenigen Monaten etwas dazu zu lesen. Relativ einfach geht das sonst mit tcng (http://tcng.sourceforge.net/). Mit Squid kannst du auch mit Delay-Pools arbeiten, um die erlaubte Bandbreite nach bestimmten Kriterien (steuerbar über ACLs) einzuschränken. Viel Erfolg und Gruß, Christoph -- Never trust a system administrator who wears a tie and suit.
