1
Transparenter Proxy mit SafeSquid (Debian), Windows Server 2003 und einer HW Firewall
HW Firewall ist eine WatchGuard Firebox II
Guten Abend,
es soll ein Content-Filter eingerichtet werden. Dafür habe ich mir SafeSquid rausgesucht welches auf einem älteren Rechner (192.168.0.5) auf Debian installiert wurde. Außerdem gibt es einen Datei-, DNS-, Anmelde- und DHCP-Server, basierend auf Windows Server 2003 (192.168.0.2). Zur Absicherung ist eine WatchGuard Firebox II (192.168.0.1) vorhanden. Das Ziel ist nun Folgendes:
- Die Benutzer müssen den Proxy benutzen
- Den Benutzern ist es gestattet, eigene Laptops mitzubringen, daher ist die Konfiguration des Browsers via GPO nicht möglich
Wie muss ich das ganze nun einrichten? Proxy-Server funktioniert, Windows Server 2003 auch und selbst die Firewall tut ihre Dienste. Jetzt dachte ich mir, dass man die Firewall ja sicher dazu bringen kann, nur Verbindungen vom Proxy-Server zu akzeptieren und alle anderen (z.B. von mitgebrachten Laptops ohne Proxy-Konfiguration) an den Proxy-Server weiterzuleiten welcher dann überprüft, ob die Seite gesperrt ist oder nicht.
Derzeit sieht die Konfiguration bei den Clients folgendermaßen aus:
IP: 192.168.0.xx
Subnetzmaske: Klar
Standartgateway: 192.168.0.1
DNS-Server: 192.168.0.2
Mir ist aber selbst noch nicht klar, ob ich das nun über die WatchGuard Firewall regeln muss oder ob es auch per Windows Server 2003 geht. Dazu habe ich einfach nichts gefunden. Die Software der Firewall verlangt übrigens irgend einen Live Service Key, welchen ich aber nicht besitze (der bzw. im Laufe eines Umzugs verloren gegangen ist, Schuld meiner Vorgänger). Desshalb wäre mir eine Konfiguration per Windows Server 2003 lieber, falls dies möglich ist.
Mit freundlichen Grüßen,
Tobi
es soll ein Content-Filter eingerichtet werden. Dafür habe ich mir SafeSquid rausgesucht welches auf einem älteren Rechner (192.168.0.5) auf Debian installiert wurde. Außerdem gibt es einen Datei-, DNS-, Anmelde- und DHCP-Server, basierend auf Windows Server 2003 (192.168.0.2). Zur Absicherung ist eine WatchGuard Firebox II (192.168.0.1) vorhanden. Das Ziel ist nun Folgendes:
- Die Benutzer müssen den Proxy benutzen
- Den Benutzern ist es gestattet, eigene Laptops mitzubringen, daher ist die Konfiguration des Browsers via GPO nicht möglich
Wie muss ich das ganze nun einrichten? Proxy-Server funktioniert, Windows Server 2003 auch und selbst die Firewall tut ihre Dienste. Jetzt dachte ich mir, dass man die Firewall ja sicher dazu bringen kann, nur Verbindungen vom Proxy-Server zu akzeptieren und alle anderen (z.B. von mitgebrachten Laptops ohne Proxy-Konfiguration) an den Proxy-Server weiterzuleiten welcher dann überprüft, ob die Seite gesperrt ist oder nicht.
Derzeit sieht die Konfiguration bei den Clients folgendermaßen aus:
IP: 192.168.0.xx
Subnetzmaske: Klar
Standartgateway: 192.168.0.1
DNS-Server: 192.168.0.2
Mir ist aber selbst noch nicht klar, ob ich das nun über die WatchGuard Firewall regeln muss oder ob es auch per Windows Server 2003 geht. Dazu habe ich einfach nichts gefunden. Die Software der Firewall verlangt übrigens irgend einen Live Service Key, welchen ich aber nicht besitze (der bzw. im Laufe eines Umzugs verloren gegangen ist, Schuld meiner Vorgänger). Desshalb wäre mir eine Konfiguration per Windows Server 2003 lieber, falls dies möglich ist.
Mit freundlichen Grüßen,
Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 100089
Url: https://administrator.de/contentid/100089
Printed on: April 23, 2024 at 20:04 o'clock
1 Comment
Hi,
eine KOmplettlösung wirst Du hier nicht bekommen.
Ich kann Dir nur sagen, dass Du im DHCP Server (192.168.0.2) die Adresse deines Proxys (192.168.0.5) als Standardgateway eintragen musst.
ABER VORSICHT
Nicht blind jetzt die Einstellungen ändern.
Mal davon abgesehen, dass Benutzer Ihre privaten (wenn ich es richtig verstehe) Laptops mitbringen dürfen, was ein absolutes NOGO ist!
Wenn die Benutzer über den "neuen" Standardgateway 192.168.0.5 - also über deinem SafeSquid surfen, müssen auf diesem Rechner ggf. noch Routen hinzugefügt/geändert werden.
Die Informationen von Dir sind leider etwas mäßig.
Auch die Subnetzmaske ist nicht "Klar", auch wenn jeder wahrscheinlich vermutet, dass Du 255.255.255.0 hiermit meinst.
Ich kenn zwar die WatchGuard Firebox II nicht, aber dort gibt es sicherlich noch eine Möglichkeit, Verbindungen per HTTP/S FTP usw. nur von dem 192.168.0.5 zu erlauben.
Ich hoffe, dass Dir diese Infos ein wenig weiterhelfen...
Gruß
Markus
eine KOmplettlösung wirst Du hier nicht bekommen.
Ich kann Dir nur sagen, dass Du im DHCP Server (192.168.0.2) die Adresse deines Proxys (192.168.0.5) als Standardgateway eintragen musst.
ABER VORSICHT
Nicht blind jetzt die Einstellungen ändern.
Mal davon abgesehen, dass Benutzer Ihre privaten (wenn ich es richtig verstehe) Laptops mitbringen dürfen, was ein absolutes NOGO ist!
Wenn die Benutzer über den "neuen" Standardgateway 192.168.0.5 - also über deinem SafeSquid surfen, müssen auf diesem Rechner ggf. noch Routen hinzugefügt/geändert werden.
Die Informationen von Dir sind leider etwas mäßig.
Auch die Subnetzmaske ist nicht "Klar", auch wenn jeder wahrscheinlich vermutet, dass Du 255.255.255.0 hiermit meinst.
Ich kenn zwar die WatchGuard Firebox II nicht, aber dort gibt es sicherlich noch eine Möglichkeit, Verbindungen per HTTP/S FTP usw. nur von dem 192.168.0.5 zu erlauben.
Ich hoffe, dass Dir diese Infos ein wenig weiterhelfen...
Gruß
Markus
