4
W2k3 Server 2 NICs mit Proxy Firewall Frage
Hallo zusammen!
Ich habe folgendes vor:
meine Freundin ist Tochter eines Internatsleiters, der mich darum geben hat ihre IT dort
nebenbei zu betreuen. Es geht um einen Proxy only Zugang der Rechner im LAN.
Dafür habe ich einen 2003er Server mit zwei NICs geschnitzt. NIC1 hat ein privates Netzwerk 192.168.0.1/30
und hängt direkt am Router für den Internetzugang.
NIC2 hängt im LAN, 10.0.0.100/16, da die einzelnen Hausnetze (mehrere Häuser mit eigenen WLAN Routern die Netze 10.0.10.x,
10.0.20.x, 10.0.30.x usw haben (finde ich einfach praktisch zu merken).
Die Sache ist nun Folgende: Es gibt neben den festen Arbeitsplatzrechnern auch Schüler die mit privaten Notebooks ins
LAN gehen. Da man diese nicht zur Benutzung des Filterproxy auf dem Server 10.0.0.100 zwingen kann, muss ich sicherstellen
dass niemand es aufgrund einer selbst gebastelten IP Konfiguration ungefiltert ins Netz schafft (MAC Adress Filterung sprengt meinen Freizeitrahmen und fällt daher aus demselbigen).
Also bekommen die Clients eine Adresse aus ihrem Hausnetz und müssen den Proxy 10.0.0.100:800 eintragen.
Die Crux beginnt hier: Damit der Proxy ins Netz gucken kann, muss ich notwendigerweise das Routing zwischen den NICs aktivieren. Das würde aber bedeuten, dass wenn jemand einfach die 10.0.0.100 als Gateway Adresse angäbe, auch einfach ungefiltert ins Netz kommt.
Wie stelle ich es nun auf dem Windowsserver an, dass ausschliesslich der Server selbst mit seiner Adresse auf NIC2 und dem Proxydatenstrom zum 192.168.0.1/30 Interface geroutet wird, alles andere aber nicht? Also nichts was aus dem LAN kommt und sagt "Hey, mach mal einfach routing vom LAN zum WAN Interface".
Ich hoffe ich habe es genügend erklärt, sonst bitte reichlich nachfragen!
Vielen Dank schonmal im Vorraus für jede erleuchtende Antwort.
Gruß aus Köln, Gunnar
Ich habe folgendes vor:
meine Freundin ist Tochter eines Internatsleiters, der mich darum geben hat ihre IT dort
nebenbei zu betreuen. Es geht um einen Proxy only Zugang der Rechner im LAN.
Dafür habe ich einen 2003er Server mit zwei NICs geschnitzt. NIC1 hat ein privates Netzwerk 192.168.0.1/30
und hängt direkt am Router für den Internetzugang.
NIC2 hängt im LAN, 10.0.0.100/16, da die einzelnen Hausnetze (mehrere Häuser mit eigenen WLAN Routern die Netze 10.0.10.x,
10.0.20.x, 10.0.30.x usw haben (finde ich einfach praktisch zu merken).
Die Sache ist nun Folgende: Es gibt neben den festen Arbeitsplatzrechnern auch Schüler die mit privaten Notebooks ins
LAN gehen. Da man diese nicht zur Benutzung des Filterproxy auf dem Server 10.0.0.100 zwingen kann, muss ich sicherstellen
dass niemand es aufgrund einer selbst gebastelten IP Konfiguration ungefiltert ins Netz schafft (MAC Adress Filterung sprengt meinen Freizeitrahmen und fällt daher aus demselbigen).
Also bekommen die Clients eine Adresse aus ihrem Hausnetz und müssen den Proxy 10.0.0.100:800 eintragen.
Die Crux beginnt hier: Damit der Proxy ins Netz gucken kann, muss ich notwendigerweise das Routing zwischen den NICs aktivieren. Das würde aber bedeuten, dass wenn jemand einfach die 10.0.0.100 als Gateway Adresse angäbe, auch einfach ungefiltert ins Netz kommt.
Wie stelle ich es nun auf dem Windowsserver an, dass ausschliesslich der Server selbst mit seiner Adresse auf NIC2 und dem Proxydatenstrom zum 192.168.0.1/30 Interface geroutet wird, alles andere aber nicht? Also nichts was aus dem LAN kommt und sagt "Hey, mach mal einfach routing vom LAN zum WAN Interface".
Ich hoffe ich habe es genügend erklärt, sonst bitte reichlich nachfragen!
Vielen Dank schonmal im Vorraus für jede erleuchtende Antwort.
Gruß aus Köln, Gunnar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197394
Url: https://administrator.de/contentid/197394
Printed on: April 24, 2024 at 00:04 o'clock
4 Comments
Latest comment
Hallo,
OK. Jetzt kennen wir deine Freundin.
Warum kann man die nicht zwingen eine Proxy zu nutzen? Das soll sogar gehen ohen das der Anwender es mitbekommt / etwas einträgt / noch umgehen kann, oder täusche ich mich da?
Schon mal über eine Firewall / UTM nachgedacht die dies tatsächlich alles beherscht? Bei Sophos gibt es die dinger sogar kostenlos (Firmenumfeld Basis Version, Privatumfeld alle Module). Sophos UTM Home Edition http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... und Sophos UTM essential Firewall http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi .... Damit solltest du das Schaffen und hast dann noch Abends Zeit für deine Freundin
Gruß,
Peter
OK. Jetzt kennen wir deine Freundin.
hat ihre IT dort nebenbei zu betreuen
Und was machst du neben den nebenbei? UPS Fahrer oder was? Es geht um einen Proxy only Zugang der Rechner im LAN.
OK. Nur einen Proxy.Dafür habe ich einen 2003er Server mit zwei NICs geschnitzt.
Warum nimmt man für nur einen Proxy ein Kostenpflichtiges OS was auch noch demnächst nicht mehr mit Updates (hier wirklich ratsam) gepflegt wird?und hängt direkt am Router für den Internetzugang.
Was für einen Router?NIC2 hängt im LAN
Und vermutlich noch eine Uralt Hardwarebastelkiste die bei 4 Verbindungen ohne Proxy schon die grätsche macht, oder?10.0.20.x, 10.0.30.x usw
OK. Mehere Netze welche evtl. auch getrennt sein können / wollen / sollen / dürfen / müssen?Da man diese nicht zur Benutzung des Filterproxy auf dem Server 10.0.0.100 zwingen kann
Warum kann man die nicht zwingen eine Proxy zu nutzen? Das soll sogar gehen ohen das der Anwender es mitbekommt / etwas einträgt / noch umgehen kann, oder täusche ich mich da?
muss ich sicherstellen dass niemand es aufgrund einer selbst gebastelten IP Konfiguration ungefiltert ins Netz schafft
Ist nicht eher dies was du suchst? http://de.wikipedia.org/wiki/IEEE_802.1X(MAC Adress Filterung sprengt meinen Freizeitrahmen und fällt daher aus demselbigen).
Auch ein Grund es eben jedem leicht zu machen dein Proxynetz zu umgehen.und müssen den Proxy 10.0.0.100:800 eintragen.
Und wer dies nicht tut? Was dann?Schon mal über eine Firewall / UTM nachgedacht die dies tatsächlich alles beherscht? Bei Sophos gibt es die dinger sogar kostenlos (Firmenumfeld Basis Version, Privatumfeld alle Module). Sophos UTM Home Edition http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... und Sophos UTM essential Firewall http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi .... Damit solltest du das Schaffen und hast dann noch Abends Zeit für deine Freundin
Gruß,
Peter
Hallo Peter,
das zitieren hier würde alles sprengen, also nein, ich bin auch vom Fach, ja nur der eine Proxy, w2k3 weil es günstig ist und eine pfsense im router zum netz vorgeschaltet ist, was die frage nach dem UTM auch schon halbwegs beantwortet, die kiste reicht für die Anwendung (x3650 von IBM falls du es genau wissen willst, von der zugehörigen Schule abgegriffen).
Zu der zwingenden Prxykonfiguration musst du mir bitte helfen, ich kenne keinen Weg ohne GPO der dies bewerkstelligt, lasse mir da aber gerne helfen.
Radius will ich nicht einsetzen.
Keine MAC Filterung, einfach mal als gegeben hinnehmen auch wenn es schwer fällt (mir auch)
Und wer den Proxy nicht nutzt verstösst gegen die Regeln, muss mit Disziplinarmaßnahmen rechnen und dem eventuellen rauschmiss, das können wir doch alle nicht wollen.
Und jetzt alle vor die bei genau der Konfiguration was beitragen können und nicht alles zerplfücken mit wenn und aber und hättest du besser. Es ist nunmal so wie es ist und leider kein Wunschkonzert.
Gruß Gunnar
das zitieren hier würde alles sprengen, also nein, ich bin auch vom Fach, ja nur der eine Proxy, w2k3 weil es günstig ist und eine pfsense im router zum netz vorgeschaltet ist, was die frage nach dem UTM auch schon halbwegs beantwortet, die kiste reicht für die Anwendung (x3650 von IBM falls du es genau wissen willst, von der zugehörigen Schule abgegriffen).
Zu der zwingenden Prxykonfiguration musst du mir bitte helfen, ich kenne keinen Weg ohne GPO der dies bewerkstelligt, lasse mir da aber gerne helfen.
Radius will ich nicht einsetzen.
Keine MAC Filterung, einfach mal als gegeben hinnehmen auch wenn es schwer fällt (mir auch)
Und wer den Proxy nicht nutzt verstösst gegen die Regeln, muss mit Disziplinarmaßnahmen rechnen und dem eventuellen rauschmiss, das können wir doch alle nicht wollen.
Und jetzt alle vor die bei genau der Konfiguration was beitragen können und nicht alles zerplfücken mit wenn und aber und hättest du besser. Es ist nunmal so wie es ist und leider kein Wunschkonzert.
Gruß Gunnar
Hallo Gunnar,
OK. Aber dann sollte dir doch das hier
Welchen Proxy willst du denn überhaupt auf deinen Server 2k3 als Proxy verwenden? Was kann der dir anbiten dein problem zu Lösen? Vielleicht nicht doch lieber die PFsense dazu nutzen? http://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy oder http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tuto ...
Wenn dein Gateway gleichzeitig dein Proxy ist braucht es keine Einträge irgendwo (egal auf was für ein Gerät / Browser etc). Gateway Eintrag reicht alleine schon aus. Den kannst du so ohne weiteres nicht umgehen (geht das überhaupt?)
Gruß,
Peter
OK. Aber dann sollte dir doch das hier
Zu der zwingenden Prxykonfiguration musst du mir bitte helfen
nicht wirklich vor Problemen stellen und deinich kenne keinen Weg ohne GPO der dies bewerkstelligt
ist eben dann wenn du einen Proxy nutzt der eben nicht dein Gateway darstellt. Lies dich mal in Transparent Proxy ein http://de.wikipedia.org/wiki/Proxy_(Rechnernetz)#Transparenter_ProxyWelchen Proxy willst du denn überhaupt auf deinen Server 2k3 als Proxy verwenden? Was kann der dir anbiten dein problem zu Lösen? Vielleicht nicht doch lieber die PFsense dazu nutzen? http://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy oder http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tuto ...
Wenn dein Gateway gleichzeitig dein Proxy ist braucht es keine Einträge irgendwo (egal auf was für ein Gerät / Browser etc). Gateway Eintrag reicht alleine schon aus. Den kannst du so ohne weiteres nicht umgehen (geht das überhaupt?)
Radius will ich nicht einsetzen.
Radius würde dir aber helfen eben keine MAC Filterung am AP / Switch Manuell machen zu müssen.Und wer den Proxy nicht nutzt verstösst gegen die Regeln
Das dürfte den meisten dort wenig interessieren. Du musst die erstmal erwischen. Aber wenn die an dein System schon vorbei sind...Und jetzt alle vor die bei genau der Konfiguration was beitragen können
Dann solltest du aber auch vorher alle Karten auf den Tisch legen. Wir kennen deine Gedanken und deine Wünsche nicht. Und wenn du keine Alternativen zur Lösung deines Poblems lesen willst sag es vorher. Es ist nunmal so wie es ist und leider kein Wunschkonzert.
Warum fragst du dann wenn deine Lösung schon in Stein gehauen ist?Gruß,
Peter
Hallo Peter,
die Formatierung zum Zitieren bekomme ich hier ohne WYSIWYG nicht hin, zumindest nicht zu so später Stunde *sorry*
Ich muss ehrlich dazu sagen dass ich es noch nicht ausprobiert habe. Das ist nur eine wirre Kopfsache die ich ausbrüte. Ich will vorher bevor ich alles umstelle einfach sicher sein dass es funktioniert und nicht noch eine lange downtime verursachen weil ich irgendwas nicht bedacht habe. Die Idee mit dem transparenten Proxy ist eine super Idee die ich vorher noch nicht bedacht habe, arbeite sinst nur mit roten Netzen die gar keinen Inet Zugang haben und bin daher in der Beziehung etwas unbeleckt. (Leider) Vielleicht kann ich den Squid ja dazu bringen alles was auf Port 80 am LAN Interface ankommt, egal ob nun mit oder ohne Proxysettings, automatisch durch ihn behandeln zu lassen.
Danke dir erst einmal für den guten Tipp, melde mich wieder falls der persönliche DAU doch wieder zuschlägt und ich jemanden brauche der das Brett vorm Kopf liftet.
Gruß Gunnar
die Formatierung zum Zitieren bekomme ich hier ohne WYSIWYG nicht hin, zumindest nicht zu so später Stunde *sorry*
Ich muss ehrlich dazu sagen dass ich es noch nicht ausprobiert habe. Das ist nur eine wirre Kopfsache die ich ausbrüte. Ich will vorher bevor ich alles umstelle einfach sicher sein dass es funktioniert und nicht noch eine lange downtime verursachen weil ich irgendwas nicht bedacht habe. Die Idee mit dem transparenten Proxy ist eine super Idee die ich vorher noch nicht bedacht habe, arbeite sinst nur mit roten Netzen die gar keinen Inet Zugang haben und bin daher in der Beziehung etwas unbeleckt. (Leider) Vielleicht kann ich den Squid ja dazu bringen alles was auf Port 80 am LAN Interface ankommt, egal ob nun mit oder ohne Proxysettings, automatisch durch ihn behandeln zu lassen.
Danke dir erst einmal für den guten Tipp, melde mich wieder falls der persönliche DAU doch wieder zuschlägt und ich jemanden brauche der das Brett vorm Kopf liftet.
Gruß Gunnar
