Re: transparenter proxy
On Fri, Oct 27, 2006 at 10:57:07AM +0200, Simon Neumeister wrote: Hallo auf der Suche nach einer Möglich zu verhindern immer den Proxy für verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee gekomen einen transparenten Proxy zu nutzen. Jetzt stellt sich nur die Frage wie sich das am geschicktesten realisieren lässt: mit iptables oder mit einem daemon im userspace ? Das Netz schaut folgendermaßen aus: [client] -- privates netz 1 -- [router] -- privtes netz 2 -- [proxy] -- internet (http(s)) auf dem router soll eben per iptables o.ä. alles was http oder ftp ist und vom client kommt an den proxy geschickt werden. alles andere wird normal 'gemasqueraded'. Was leider nicht alle Programme unterstützen: die automatische Suche der richtigen Einstellung Opera, IE, Firefox, Mozilla (und sicher auch Konqueror (ungetestet) kannst du eine wpad.dat oder proxy.pac Datei vorsetzen in der du mit einfachem Javascript definierst welche Adressen per welchem Proxy angesteuert werden sollen und welche Adressen direkt verbunden werden sollen. Du kannst in der Einstellungsdatei auch teilweise Wildcards verwenden wie 192.168.0.*. Ich glaube allerdings nicht, dass das auch für andere einfache Programme wie apt-get und andere möglich ist. Dafür bräuchtest du sicher dann einen transparenten Proxy, der dann das gleiche macht. Paul signature.asc Description: Digital signature
Re: transparenter proxy
Hi Simon, auf der Suche nach einer Möglich zu verhindern immer den Proxy für verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee gekomen einen transparenten Proxy zu nutzen. Jetzt stellt sich nur die Frage wie sich das am geschicktesten realisieren lässt: mit iptables oder mit einem daemon im userspace ? ich habe das selbe szenario hier und nutze dazu als Proxy den Squid / Dansguardian. Ich verwende iptables um den Proxy transparent zu machen. Aber achte darauf, dass du die Squid Config anpassen musst: Google mit Squid transparenter Proxy iptables füttern und lesen... Grüßle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 11:21 schrieb Tobias Krais: Hi Simon, auf der Suche nach einer Möglich zu verhindern immer den Proxy für verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee gekomen einen transparenten Proxy zu nutzen. Jetzt stellt sich nur die Frage wie sich das am geschicktesten realisieren lässt: mit iptables oder mit einem daemon im userspace ? ich habe das selbe szenario hier und nutze dazu als Proxy den Squid / Dansguardian. Ich verwende iptables um den Proxy transparent zu machen. Aber achte darauf, dass du die Squid Config anpassen musst: Google mit Squid transparenter Proxy iptables füttern und lesen... guter Hinweis: laut: http://www.proesdorf.de/linux/squid_conf.htm#h15 kan man kein HTTPS / FTP über den transparent Proxy betreiben, damit fällt das dann wohl leider aus Grüßle, Tobias -- Grüße, Simon
Re: transparenter proxy
Hi Simon,, guter Hinweis: laut: http://www.proesdorf.de/linux/squid_conf.htm#h15 kan man kein HTTPS / FTP über den transparent Proxy betreiben, damit fällt das dann wohl leider aus käme einer man-in-the-middle Attacke gleich. Demnach würde es für dein Problem gar keine Realisierbare Lösung geben. Aber was ist der Zweck deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP) drüber laufen lässt und die anderen Port frei raus lässt. Grüßle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais: Hi Tobias käme einer man-in-the-middle Attacke gleich. Demnach würde es für dein Problem gar keine Realisierbare Lösung geben. Aber was ist der Zweck deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP) drüber laufen lässt und die anderen Port frei raus lässt. schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids, sondern eben nur auf den Router. Trotzdem Danke für die Hilfe :-) Grüßle, Tobias -- Grüße, Simon
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 12:30 schrieb Simon Neumeister: Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais: Hi Tobias käme einer man-in-the-middle Attacke gleich. Demnach würde es für dein Problem gar keine Realisierbare Lösung geben. Aber was ist der Zweck deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP) drüber laufen lässt und die anderen Port frei raus lässt. schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Doch, gibt es. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Na also, dann leite HTTP über den Squid, HTTPS direkt und ftp kannst du so realisieren: http://www.linuxwall.de/german/doc/ftp-proxy.html -- mfg Peter Küchler
Re: transparenter proxy
Du schriebst am 27. Oct um 12:30 Uhr: Am Freitag, 27. Oktober 2006 11:47 schrieb Tobias Krais: Hi Tobias käme einer man-in-the-middle Attacke gleich. Demnach würde es für dein Problem gar keine Realisierbare Lösung geben. Aber was ist der Zweck deines Proxys? Je nachdem reicht es, wenn du nur Port 80 (HTTP) drüber laufen lässt und die anderen Port frei raus lässt. schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Wwwoffle kann beides (https natürlich nicht gecacht): http://www.gedanken.demon.co.uk/wwwoffle/ Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids, sondern eben nur auf den Router. Zugriff auf die Konfiguration brauchst Du natürlich schon. Gruß Christian -- Christian Knoke* * *http://cknoke.de * * * * * * * * * Ceterum censeo Microsoft esse dividendum. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 12:58 schrieb Peter Kuechler: Am Freitag, 27. Oktober 2006 12:30 schrieb Simon Neumeister: schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Doch, gibt es. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Na also, dann leite HTTP über den Squid, HTTPS direkt und ftp kannst du so realisieren: http://www.linuxwall.de/german/doc/ftp-proxy.html das sieht interessant aus. Wie es scheint kann der ja auch mit einem Web-Cache zusammen, eben Squid o.ä. -- Grüße, Simon P.S. bitte setzte kein reply-to auf deine Email Adresse. DAs führt sonst schnell zu einer PM
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 13:58 schrieb Christian Knoke: Du schriebst am 27. Oct um 12:30 Uhr: schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Wwwoffle kann beides (https natürlich nicht gecacht): http://www.gedanken.demon.co.uk/wwwoffle/ ich will nicht selbst einen Proxy aufsetzen sondern will einen existierenden für mich transparenter zu machen. d.h. dass ich nicht mehr im Browser, $http_proxy, etc. den proxy eintragen will sondern die Einstellungen immer geich sind egal ob ich in meinem Netz mit dem Proxy bin oder in einem anderen bei dem es keien gibt. Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids, sondern eben nur auf den Router. Zugriff auf die Konfiguration brauchst Du natürlich schon. -- Grüße, Simon
Re: transparenter proxy
Am Freitag, 27. Oktober 2006 15:00 schrieb Simon Neumeister: Am Freitag, 27. Oktober 2006 12:58 schrieb Peter Kuechler: Am Freitag, 27. Oktober 2006 12:30 schrieb Simon Neumeister: schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Doch, gibt es. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Na also, dann leite HTTP über den Squid, HTTPS direkt und ftp kannst du so realisieren: http://www.linuxwall.de/german/doc/ftp-proxy.html das sieht interessant aus. Wie es scheint kann der ja auch mit einem Web-Cache zusammen, eben Squid o.ä. Ja sicher, sind ja auch zwei getrennte Programme, die an unterschiedlichen Ports lauschen. Sie haben erstmal nichts miteinander zu tun;-) Jedes übernimmt seinen Part. -- mfg Peter Küchler
Re: transparenter proxy
Simon Neumeister wrote: Hallo auf der Suche nach einer Möglich zu verhindern immer den Proxy für verschiedene Netzwerkumgebungen ein und auszuschalten ist mir die Idee gekomen einen transparenten Proxy zu nutzen. Jetzt stellt sich nur die Frage wie sich das am geschicktesten realisieren lässt: mit iptables oder mit einem daemon im userspace ? Das Netz schaut folgendermaßen aus: [client] -- privates netz 1 -- [router] -- privtes netz 2 -- [proxy] -- internet (http(s)) auf dem router soll eben per iptables o.ä. alles was http oder ftp ist und vom client kommt an den proxy geschickt werden. alles andere wird normal 'gemasqueraded'. Hallo Simon, lies mal das hier: http://www.squid-cache.org/Doc/FAQ/FAQ-17.html Hier findest Du wohl alles was Du brauchst.. Gruß, Aleks -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: transparenter proxy
Hallo Simon, Simon Neumeister schrieb: schade, wie es aussieht gibt es dann wohl keine Lösung für mich. Den HTTPS wäre kein Problem, aber FTP sollte auch über den Proxy laufen. Zudem habe ich gar keinen Zugriff auf die Konfiguration des Squids, sondern eben nur auf den Router. Eventuell hilft dir auch die automatische Konfiguration des Webbrowsers weiter? http://homepages.tesco.net/J.deBoynePollard/FGA/web-browser-auto-proxy-configuration.html Für FTP setzt es natürlich voraus, dass du den Webbrowser dafür benutzt. HTH, Spiro. -- Spiro R. Trikaliotis http://opencbm.sf.net/ http://www.trikaliotis.net/ http://www.viceteam.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Transparenter Proxy: Einwahlproblem
Ich weiss nicht, ob es was bringt, aber wenn du deinem Client per IP-Redirect einen Proxy unterjubelst, ohne das der das mitkrigt, kann das Nebenwirkungen bei der Namensauflösung mit sich bringen. So in diese Richtung vielleicht. Was ist denn eigentlich ra0 für ein Interface? Martin Tim Boneko wrote: Tach! Ich habe hier erfolgreich einen Proxy eingerichtet: iptables leitet Anfragen auf Port 80/tcp auf Port 3128 um, wo squid auf Arbeit wartet. Geht prima. Die Einwahl meines isdn- Systems geht über ppp on demand, den ich mittels active-filter angewiesen habe, nur auf tcp- Pakete zu reagieren. Geht auch super - jedenfalls fast: Die erste Einwahl nach dem Booten des Servers geht nur, wenn der Browser auf dem Client den Proxy explizit zugewiesen kriegt. (Startseite aller Browser ist hier eine nackte IP- Adresse.) Danach kann ich den Proxy- Eintrag rausnehmen, auch eine Wiedereinwahl klappt, ohne dass der Proxy fest eingerichtet ist. Ich komme nicht drauf! Wo liegt der Fehler? Etwas Doku im Anhang. timbo Eintrag in /etc/ppp/peers/provider: active-filter?outbound and tcp? demand Regel in der Firewall: iptables -A PREROUTING -t nat -i ra0 -p tcp --dport 80 -j DNAT --to-destination 192.168.25.1:3128 (Reicht das an Info? Der Rest der Firewall ist sinngemäß Schotten dicht, alles darf raus, Device ra0 darf alles) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)