Proxy-Server Verständnisfrage

[bernardo 10]

Hallo zusammen,

 

ich habe eine Verständnisfrage zum Thema Proxy-Server und Auflösung der Domainnamen im Internet Explorer.

 

Im Netzwerk ist ein Proxy-Server der per WPAD-Option über DHCP an die Clients verteilt wird vorhanden. Über DHCP werden desweiteren noch die IP-Adresse, der AD-DNS-Server und das Standardgateway an die Clients verteilt.

 

Der Proxy-Server hat eine statische IP, als Standardgateway den Router/Firewall und als DNS-Server den DNS-Server der Domäne eingetragen.

 

Hier habe ich die erste Frage, und zwar ist das korrekt, das der Proxy den AD-DNS-Server eingetragen hat?

 

Wenn ich nun an einem Client der o.g. Informationen per DHCP erhalten hat, im Internet Explorer Windows Server & IT Pro Community - MCSEboard.de MCSE Forum eingebe, was passiert dann?

 

Geht der Client über Port 80 für HTTP und Port 53 für DNS an den Proxy-Server? Insbesondere die Rolle von DNS macht mir hier schwierigkeiten, da der Client ja normalerweise wenn kein Proxy vorhanden ist, den AD-DNS-Server fragt und falls er die Anfrage nicht auflösen kann die Anfrage weiterleitet an den ISP-DNS-Server.

 

Wird der Proxy-Server quasi zum DNS-Server für nicht lokale Adressen?

 

Das würde ja bedeutet das der Proxy dann über die Ports 80, 443 und 53 raus ins Internet geht um dich die Informationne zu holen.

 

Wie ihr seht bin ich etwas durcheinander diesbezüglich, daher wäre ich über eure Unterstützung sehr erfreut.

 

Danke und einen schönen Feiertag:-)

 

 

Grüße

 

Bernardo

[zahni 554]

Ein Proxy hat nichts mit DNS zu tun. Der proxy arbietet auf der Ebene des HTTP-Protokolls. Wenn im Browser Windows Server & IT Pro Community - MCSEboard.de MCSE Forum eingegeben wird, sagt der Browser dem Proxy: Lade mit mal die Seite. Das der proxy dann macht, ist dem Browser egal. Der Proxy muss natürlich wissen, wie er ins Internet kommt.

 

Wenn Du nun auf allen PC's als Default Gateway den Internet Router einträgt, kommen die PC auch ohne den Proxy ins Internet. Jetzt spielt auch DNS wieder eine Rolle, so wie Du geschrieben hast.

 

Wenn Du möchtest, dass nur der Proxy verwendet wird, verwende nur am Proxy als Default Gateway den Router. Zusätzlich solltest Du am Router noch eine ACL einrichten.

[bernardo 10]

Hallo Zahni,

 

danke für die schnelle Antwort, das hatte ich mich auch schon gefragt, das wenn bei den Clients der Router als Standardgateway hinterlegt ist, diese dann am Proxy vorbei gehen.

 

Also müsste ich dann einfach noch am Router alle Ports von intern nach extern sperren, ausser eben 80 und 443 oder? Was ist denn mit 53 für DNS?

 

 

Du hast geschrieben, dass der Proxy nichts mit DNS zu tun hat, aber wenn ich im Browser http://www.xyz.de eingebe, dann muss diese Domain doch erst in IP aufgelöst werden, wer übernimmt das denn in diesem Szenarion?

[zahni 554]

Zur 1. Frage: prüfe, ob der Router eine ACl erlaubt, also IP-Adressen die "dürfen", der Rest nicht. Hier den Proxy eintragen. Den DNS-passenden DNS-Zugriff entweder über den Windows-DNS-Server oder direkt über den Proxy musst Du natürlich erlauben. Achtung: DNS verwendet udp .

 

Frage 2. Wenn im Browser ein Proxy erfolgreich eingetragen ist (wenn also alles mit WPAD wie auch immer klappt), dann macht der Browser keine DNS-Abfrage sondern schickt die Anfrage zum Proxy.

 

-Zahni

[bernardo 10]

Deine zweite Anwort: Wenn der Browser die Anfrage direkt an den Proxy senden, wie löst der Proxy dann DNS auf? Über den Router oder über den DNS-Server der Domäne, den der Proxy von mir als Standard DNS-Server verpasst bekomen hat.

 

 

 

Ist dies überhaupt richtig, den DNS-Server der Domäne, als Standard DNS-Server am Proxy Server zu hinterlegen? Ich habe mal was davon gelesen, das dort der Router bzw. der DNS des ISP stehen sollte, kam mir aber etwas komisch vor.

[Dukel 454]

Dein Proxy muss halt Internetadressen auflösen können.

Solange die internen DNS Server richtig Konfiguriert sind (Weiterleitung auf Provider / Router DNS) geht das so.

Wenn man die "Externen DNS Server" einträgt kommt man nicht an evtl. benötigte interne Adressen.

[bernardo 10]

Hallo Dukel, danke das du sich der Diskussion angeschloßen hast.

 

Um letze Lücken zu füllen, spiele ich das ganze mal gedanklich durch.

 

Im Browser gebe ich http://www.xyz.de'>http://www.xyz.de'>http://www.xyz.de ein, der Client sendet diese Anfrage an den Proxy.

 

Der Proxy empfängt die Anfrage und checkt ob die Domäne http://www.xyz.de von ihm geblockt werden soll oder nicht, falls ja (wegen Blacklist oder Contentfilter) dann sendet er dem Client eben die Antwort das er die Seite nicht betreten darf. Falls nein, dann leitet der Proxy diese Anfrage an den DNS-Server der Domäne weiter, diese leitet dann an Router bzw. ISP-DNS weiter und löst den Namen dann in einer Adresse auf.

 

 

Der Proxy erhält nun die IP-Adresse der angefragten Domäne http://www.xyz.de und baut die Verbindung zu dieser Seite auf.

 

Der Client bekommt dann die Seite im Browser angezeigt.

 

Ist das so korrekt?

 

Am Router müsste ich dann alles so konfigurieren, dass nur der Proxy über port80 und 443 raus darf, und das nur der NDS-Server über Port 53 raus darf richtig?

 

So wäre dann auch vermieden, dass gast Laptops insInternet kommen, ohne den Proxy Eintrag.

[bernardo 10]

Kommt schon, ich brauche da echt noch ein bischen Hilfe...... :-)

[Dukel 454]

Ja das ist so korrekt.

[mapi4780 10]

Mal ne ganz ****e Frage, da ich deine Umgebung nicht kenne.

 

Wenn du verhindern willst, dass Geräte am Proxy vorbei ins Internet kommen.

 

Router- Firewall - NIC1 am Proxy - Proxy - NIC2 am Proxy - LAN.

Das wars dann. Proxy kann nicht umgangen werden.

(Sofern du nicht ein zusätzliches Kabel vom Router ins Netz legst.)

 

Sagt ja kein Mensch, dass irgendwelche Endgeräte direkt den Router erreichen müssen?!