busaku 10 Geschrieben 23. März 2011 Melden Geschrieben 23. März 2011 Hallo zusammen, ich habe da so ein kleines Problem einen Proxy ein zu richten. Stand der Dinge: Wir haben einen kleinen Router, dahinter einen Server auf dem virtuell weitere 3 Server laufen. Neben den Server sind hinter dem Router die Clienten. Es geht also quasi alles gleich in den Router. Eine Virtuelle Machine ist ein Windows Server 2003, ein weiterer ein Linux Ubuntu, welchen ich gerne als Proxy nutzen würde. Soweit alles kein Problem. Als Proxy nutze ich Squid (squid : Optimising Web Delivery). So lange ich im Browser (beim Client) den Proxy manuell einstelle funktioniert auch alles soweit klasse. Jetzt könnte ich ja über GPO einen Proxy zuweisen. Allerdings nutzen wir a) Firefox, b) haben wir noch Linux und Mac Clienten. Kommen wir also zum Problem: Nimmt man bei einem Clienten die Proxyeinstellungen raus, nutzt er das Gateway (also den Windows-Server, welcher an den Router weiterleitet) und umgeht den Proxy. Wie kann ich jetzt verhindern, dass die Clienten um ins Internet zu gehen den Windows Server nutzen? Ich habe schon mit Routing und RAS rum gespielt, aber egal was ich versuche, solange ich nur port 80 sperren will, klappt es nicht. Sperre ich eine ganze IP aus, gehts..ist aber nicht sinn der übung. Man, ist das ganze kompliziert. Aber ich hoffe ihr wisst was ich meine und könnt mir bei meinem Problem helfen ;) Danke schonmal im Voraus. busaku Zitieren
Dukel 460 Geschrieben 23. März 2011 Melden Geschrieben 23. März 2011 Du kannst einen Zwangsproxy nutzen. Aller Traffic, welcher nach außen Port 80 (außer der Proxy) geht wird umgeleitet auf proxy Port xx. Zitieren
busaku 10 Geschrieben 23. März 2011 Autor Melden Geschrieben 23. März 2011 Dukel schrieb: Du kannst einen Zwangsproxy nutzen. Aller Traffic, welcher nach außen Port 80 (außer der Proxy) geht wird umgeleitet auf proxy Port xx. Jau, genau da liegt ja das Problem ;) Wie konfiguriere ich das ? Zitieren
Dukel 460 Geschrieben 23. März 2011 Melden Geschrieben 23. März 2011 In der Firewall. Dort wo aller Traffic durchgeht. Wie das im Detail geschieht kommt auf das Gerät an. Zitieren
Marco31 33 Geschrieben 23. März 2011 Melden Geschrieben 23. März 2011 Ich weiß nicht ob dir das weiterhilft, aber man kann auch beim Firefox die Proxyeinstellungen über GPO einstellen. Zwar nicht von Haus aus, aber mit dem angepassten Firefox von Frontmotion und der dazugehörigen GPO habe ich es zumindest bei uns mit Proxy per GPO hinbekommen. Außerdem kann man damit (wenn man möchte) auch die Firefox Veretilung und die Updates per GPO machen. Das würde zumindest bei den Win-Clients funktionieren. Siehe Link: FrontMotion Firefox Community Edition Zitieren
busaku 10 Geschrieben 24. März 2011 Autor Melden Geschrieben 24. März 2011 Marco31 schrieb: Ich weiß nicht ob dir das weiterhilft, aber man kann auch beim Firefox die Proxyeinstellungen über GPO einstellen. Zwar nicht von Haus aus, aber mit dem angepassten Firefox von Frontmotion und der dazugehörigen GPO habe ich es zumindest bei uns mit Proxy per GPO hinbekommen. Außerdem kann man damit (wenn man möchte) auch die Firefox Veretilung und die Updates per GPO machen. Das würde zumindest bei den Win-Clients funktionieren. Siehe Link: FrontMotion Firefox Community Edition Aber die Macs sind dann immernoch nicht bedient. Und abschalten könnte man ihn dann auch einfach. Also leider nicht der richtige weg. Hab aber gestern noch geschafft, einen Clienten den Port 80 über die Windows Server Firewall zu blockieren. Wahrscheinlich bleibt mir also wirklich nichts anderes übrig. Also danke schonmal. paD Zitieren
Babble 11 Geschrieben 24. März 2011 Melden Geschrieben 24. März 2011 Such mal nach "Transparenter Proxy". Du must erreichen, das Clientanfragen an Port 80 der Firewall auf den Port 3128 des Squid umgeleitet werden. Nur dieser darf über Port 80 ins Internet. Ich hatte das selber lange Zeit so in Betrieb und versuche mich gerade wieder daran zu erinnern :-), allerdings mit einer ausgewachsenen Firewall. Wenn dein Router das nicht kann, hast du kaum eine Chance das so umzusetzen... Zitieren
Sunny61 816 Geschrieben 24. März 2011 Melden Geschrieben 24. März 2011 busaku schrieb: Hab aber gestern noch geschafft, einen Clienten den Port 80 über die Windows Server Firewall zu blockieren. Wahrscheinlich bleibt mir also wirklich nichts anderes übrig. Das wäre aber Murks. Hol dir notfalls einen externen Dienstleister ins Haus, der kann dir das sicherlich schnell korrekt konfigurieren. Zitieren
truemperA 10 Geschrieben 24. März 2011 Melden Geschrieben 24. März 2011 Babble schrieb: Such mal nach "Transparenter Proxy". Du must erreichen, das Clientanfragen an Port 80 der Firewall auf den Port 3128 des Squid umgeleitet werden. Nur dieser darf über Port 80 ins Internet. Ich hatte das selber lange Zeit so in Betrieb und versuche mich gerade wieder daran zu erinnern :-), allerdings mit einer ausgewachsenen Firewall. Wenn dein Router das nicht kann, hast du kaum eine Chance das so umzusetzen... Wichtig hier natürlich dem SQUID auch zu sagen, dass er nun "transparent" arbeiten soll, siehe: Transparent Caching/Proxy - Squid User's Guide Sonst will der SQUID nicht so gern. Zitieren
djmaker 95 Geschrieben 25. März 2011 Melden Geschrieben 25. März 2011 Hmmm, alles ganz einfach: Du brauchst in deiner virtuellen Umgebung für den Proxy eine exklusive (externe) NIC. Konzept: Die interne NIC des des Proxy wird als Standardgateway an die Clients gegeben. Die 2. NIC im Server wird exklusiv an den Proxy gebunden und an den Router direkt angeschlossen. Damit zwingst du allen Systemen den Proxy auf. Du musst dann natürlich für die Verbindung Proxy - Router ein anderes Subnetz nehmen. Zitieren
Babble 11 Geschrieben 25. März 2011 Melden Geschrieben 25. März 2011 @djmaker: Ein Proxy ist kein Router. Ein Proxy kann http- und ftp-Requests beantworten, aber keine Datenpakete in andere Netze weiterleiten. Dein Konzept würde den kompletten Internetzugang der Clients blocken. Zitieren
InformatikKFM 17 Geschrieben 25. März 2011 Melden Geschrieben 25. März 2011 So wie djmaker es beschrieben hat läuft es am einfachsten. Es müssen nichtmal Einstellungen an den Clients vorgenommen werden. Einfach dem Proxy die IP-Adresse des aktuellen Router geben, Router in andere Netz verfrachten und per zweite NIC den Router mit dem Proxy verbinden. Dann noch eine entsprechende IPTABLES-Regel setzen und alles ankommende geht ueber den transparenten Proxy .. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.