On Thursday 12 January 2006 23:27, Dirk Salva wrote: > On Thu, Jan 12, 2006 at 09:54:53PM +0100, Christoph Haas wrote: > > Wenn du kannst (und etwas Sicherheit benötigst), dann lass den Squid > > aber im normalen "Forwarding"-Proxy-Modus laufen. Es ist eine > > zunehmende Unsitte, "Interception"-Proxying zu veranstalten und sich > > nur in Port 80-Traffic einzuschalten. Verteil eine proxy.pac und lass > > die Clients > > Was heisst das? Erklär' bitte.
Interception-Caching bedeutet, dass du per iptables jeglichen Port 80-Traffic in Richtung Internet zum Squid zwingst. Das hat den Charme, dass du keinen Browser im Netz extra konfigurieren musst, damit er den Proxy benutzt. Dafür kannst du aber nur Port 80 dorthin schicken (einige Websites laufen auf High-Ports) und hast keine vernünftige Sicherheit was Authentifizierung oder ACLs angeht. Dieser Modus lohnt sich nur, wenn man "ein bisschen cachen" will, ohne dass man den Squid ernsthaft zum Traffic-Shapen oder für die Erhöhung der Netzwerksicherheit einsetzen will. Der "normale" Modus (forward proxying) bedeutet, dass die Browser den Proxy in der Konfiguration eingetragen haben müssen, um ihn zu nutzen. Aus Sicherheitsgründen verbietet man am Gateway jeglichen direkten Traffic und gestattet nur dem Proxy, aus dem Internet Daten zu holen. So ist jeder gezwungen, den Proxy zu benutzen. Leider höre ich nur zu oft Kommentare von Systemadministratoren wie "ach, es gibt noch einen anderen Modus als Interception?". Gruß, Christoph -- Never trust a system administrator who wears a tie and suit.
