2
Providerwechsel über Proxy steuern
Wir sind eine Berliner Behörde mit ca. 500 Computerarbeitsplätzen und ca. eintausend Usern (Schichtbetrieb). Etwa 300 User sollen einen Internetzugriff erhalten. Dies geschieht über einen zentralen Proxyserver in einer übergreifenden Landesbehörde, der aber nur das http-protokoll unterstützt. In unserer Anstalt haben wir einen eigenen Proxyserver, der die Benutzerrechte und über Squid die Blacklists steuert. Der Internetzugang wird grundsätzlich über den Landesübergreifenden PS gewährleistet. Zusätzlich haben wir noch einen Internetzugang über einen DSL-Provider.
Unser Auftrag besteht darin, einen Proxyserver so einzustellen, das er bei Anfragen über das Landesnetz (http), eine Weiterleitung garantiert, aber bei Anfragen auf ein nicht-http-protokoll die Anfragen auf einen anderen Provider lenken soll.
Beispiel: Wenn ich auf Internetseiten zugreifen möchte, die Videostreams zur Verfügung stellen, wie z.B. „zdf.de“ soll der PS dies über das http-protokoll im Landesnetz abwickeln. Bei Seiten, die z.b. realnetworks für Videostreams nutzen, soll der PS automatisch auf einen anderen Provider umschalten, der auch andere Protokolle unterstützt. Der PS ist auf Linux 10.3 aufgesetzt. Kennt jemand einen Weg, wie man das realisieren kann.
Unser Auftrag besteht darin, einen Proxyserver so einzustellen, das er bei Anfragen über das Landesnetz (http), eine Weiterleitung garantiert, aber bei Anfragen auf ein nicht-http-protokoll die Anfragen auf einen anderen Provider lenken soll.
Beispiel: Wenn ich auf Internetseiten zugreifen möchte, die Videostreams zur Verfügung stellen, wie z.B. „zdf.de“ soll der PS dies über das http-protokoll im Landesnetz abwickeln. Bei Seiten, die z.b. realnetworks für Videostreams nutzen, soll der PS automatisch auf einen anderen Provider umschalten, der auch andere Protokolle unterstützt. Der PS ist auf Linux 10.3 aufgesetzt. Kennt jemand einen Weg, wie man das realisieren kann.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96162
Url: https://administrator.de/contentid/96162
Printed on: April 24, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hallo,
das macht der Client eigentlich standardmässig so.
Ein PC hat ein Gateway eingetragen, über das er erstmal alle Anfragen aller Protokolle (die nicht im eigenen Subnetz liegen) routet. Normalerweise ist es jetzt so, dass über das Gateway keine Anfragen ins Internet geroutet werden. Statt dessen muss sich der Client dafür an den Proxy wenden.
Wie man das nun sicherstellt hängt davon ab, wie die Netze bei euch konfiguriert sind.
Letztlich: Tragt bei eurem Squid ein, dass er immer an den Landesproxy gehen soll. Stellt sicher, dass das Routing dahin über das behördeninterne Netz erfolgt. Alle anderen Anfragen sollen über den separaten Provider geroutet werden. An der Firewall zum Provider stellt ihr dann noch ein, dass HTTP geblockt wird (auf guten Routern kann man tatsächlich das Protokoll blockieren, auf schlechten muss man sich damit behelfen, dass man die Ports 80 und 443 blockiert [was nicht 100%ig sicher ist, da man HTTP über jeden beliebigen Port fahren kann, so lange der Server auf diesem hört]).
Klärt, ob die Landesbehörde das erlaubt, oder ob sie nicht vorschreibt, das (aus Sicherheitsgründen) _aller_ Verkehr über sie gehen muss.
Gruß
Filipp
das macht der Client eigentlich standardmässig so.
Ein PC hat ein Gateway eingetragen, über das er erstmal alle Anfragen aller Protokolle (die nicht im eigenen Subnetz liegen) routet. Normalerweise ist es jetzt so, dass über das Gateway keine Anfragen ins Internet geroutet werden. Statt dessen muss sich der Client dafür an den Proxy wenden.
Wie man das nun sicherstellt hängt davon ab, wie die Netze bei euch konfiguriert sind.
Letztlich: Tragt bei eurem Squid ein, dass er immer an den Landesproxy gehen soll. Stellt sicher, dass das Routing dahin über das behördeninterne Netz erfolgt. Alle anderen Anfragen sollen über den separaten Provider geroutet werden. An der Firewall zum Provider stellt ihr dann noch ein, dass HTTP geblockt wird (auf guten Routern kann man tatsächlich das Protokoll blockieren, auf schlechten muss man sich damit behelfen, dass man die Ports 80 und 443 blockiert [was nicht 100%ig sicher ist, da man HTTP über jeden beliebigen Port fahren kann, so lange der Server auf diesem hört]).
Klärt, ob die Landesbehörde das erlaubt, oder ob sie nicht vorschreibt, das (aus Sicherheitsgründen) _aller_ Verkehr über sie gehen muss.
Gruß
Filipp
Im Grundsatz stimmt genau das was fillipg geschrieben hat. Es hat NICHTS mit dem Proxy zu tun sondern mit dem IP Routing als solchem !!!
Da ihr ja in eurem Browser den Proxy konfiguriert habt laufen alle HTTP Anfragen ja so oder so über die Proxy Verbindungen und damit über das Landesnetz.
Um nun alle anderen Protokolle über eure eigene Verbindung zu routen setzt du sog. Policy Based Routing (PBR) ein.
Die Lösung ist also sehr einfach !!!
An eurem default Gateway was in euren PCs als Standardgateway eingetragen ist richtest du eine PBR Routing Liste ein in der du über eine Accessliste alle diese Protokolle definierst und dann dafür ein anderes next Hop Gateway angibst wie euren DSL Router.
Genauso kann das am Landesnetz Router geschehen ! Es sollte aber an dem Router konfiguriert werden der als Gateway in euren Endgeräten definiert ist !
Damit routet euer Router dann alles was nicht in dieser PBR Liste steht über das Landesnetz, die von dir in der ACL definierten Protokolle aber über euren lokalen DSL Router über eure eigene Internet Verbindung.
Eine sehr einfach umzusetzende Lösung und ein kleiner 5 Zeiler (PBR Konfig) in der Konfiguration eures zentralen Routers !!!
Da ihr ja in eurem Browser den Proxy konfiguriert habt laufen alle HTTP Anfragen ja so oder so über die Proxy Verbindungen und damit über das Landesnetz.
Um nun alle anderen Protokolle über eure eigene Verbindung zu routen setzt du sog. Policy Based Routing (PBR) ein.
Die Lösung ist also sehr einfach !!!
An eurem default Gateway was in euren PCs als Standardgateway eingetragen ist richtest du eine PBR Routing Liste ein in der du über eine Accessliste alle diese Protokolle definierst und dann dafür ein anderes next Hop Gateway angibst wie euren DSL Router.
Genauso kann das am Landesnetz Router geschehen ! Es sollte aber an dem Router konfiguriert werden der als Gateway in euren Endgeräten definiert ist !
Damit routet euer Router dann alles was nicht in dieser PBR Liste steht über das Landesnetz, die von dir in der ACL definierten Protokolle aber über euren lokalen DSL Router über eure eigene Internet Verbindung.
Eine sehr einfach umzusetzende Lösung und ein kleiner 5 Zeiler (PBR Konfig) in der Konfiguration eures zentralen Routers !!!
