Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Zywall 5 und USG20 - HTTP Verkehr aus dem LAN in DMZ zu HTTP-Proxy umleiten - transparenter Proxy

Mitglied: Dance1

Dance1 (Level 1) - Jetzt verbinden

21.10.2013 um 10:51 Uhr, 3382 Aufrufe, 12 Kommentare

Guten Tag,

vielleicht kann mit hier jemand den richtigen Weg weisen!

Ich möchte den HTTP Verkehr aus dem LAN in die DMZ, auf einen HTTP-Proxy Server umleiten - wie macht man das auf der Firewall, um nicht an jedem PC die Eingaben im Browser angeben zu müssen?
Anleitungen wie das von Außen funktioniert (port forwarding) existieren im Internet genug - aus dem LAN heraus weniger!
Muss das mit policy route gemacht werden?
Auf den Zywalls NATe ich, LAN und DMZ sind private Netze.

Würd mich über Hilfe freuen!

Gruß - Marco
Mitglied: GuentherH
21.10.2013 um 11:28 Uhr
Hi.

Bei der USG hast du doch unter Netzwerkeinstellungen die Funktion HTTP Umleitung.

Zywall weiß ich es nicht mehr genau, aber auch da sollte es eine HTTP Umleitung auf einen Proxy geben.

LG Günther
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 11:49 Uhr
Hallo Günther,

du hast vollkommen recht - bei der USG gibt es diesen Punkt - vielen Danke für den Hinweis!
Ich hab mich bisher nur mit der Zywall 5 bezüglich des Proxy's beschäftigt - dort gibt es diese HTTP-Umleitung leider nicht!

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 11:51 Uhr
Ansonsten geht das auch immer mit Policy Based Routing indem man über eine ACL den Port TCP 80 Traffic mit einem anderen next Hop Gateway, dem Proxy, versieht.

Wenns das denn war bitte
https://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 12:21 Uhr
Hallo aqui,

ich hab's geahnt - hab ich auch schon probiert, hab da aber scheinbar etwas falsch angegeben.

diese Infos möchte die Zywall 5 von mir:

unter Criteria

Protokoll: TCP
Source: LAN
Starting IP Adress: 192.168.168.2
Ending IP Adress: 192.168.168.200
Starting Port: 80
Ending Port: 80
Destination: da kann ich, so wie bei Source oben, die DMZ nicht auswählen
Starting IP Adress: 192.168.200.5
Ending IP Adress: 192.168.200.5
Starting Port: 80 (oder 3128 für den Squid)
Ending Port: 80 (oder 3128 für den Squid)
Action Applies to: Matched

unter Routing Action:

Gateway: userdefined 192.168.200.1 (Gateway DMZ)

das müsste doch eigentlich passen, oder?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 12:42 Uhr
Ja das passt und sieht gut aus sofern das im Menü "Policy Based Routing" abgefragt wird und nicht NAT oder sowas...?!
Source sind die Absender IPs aus dem lokalen LAN, Port ist klar...
Destination müsste die Zieladresse sein, wenn das Internet ist muss da sowas wie "ANY" hin, denn du kannst da ja nicht 1 Million Internet IP Adressen eingeben
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 16:03 Uhr
hallo aqui,

Policy Routing nennt sich das auf der Zywall 5. In der Hilfe dazu schreiben sie auch policy-based Routing - das dürfte schon passen.
Source ist klar - genau.
Destination ist in meinem Fall der HTTP Proxy in der DMZ, nicht das Internet - der Proxy soll sich mit den IP Adressen des Internets auseinandersetzen ;)
Leider bekomm ich die Policy nicht so hin, dass die Zywall die Pakete in die DMZ umleitet so wie es aussieht - zumindest kann ich im Log nichts derartiges erkennen und am Proxy selber kommt nichts an
Bitte warten ..
Mitglied: aqui
22.10.2013 um 10:13 Uhr
Nein, eine Policy Router kann ja nur diese relevanten Pakete an ein andere Gateway forwarden. Diese Gateway IP muss sich im Netzbereich an der Zywall befinden sonst klappt das logischerweise nicht. Sie kann nicht in einem anderen Netzwerk liegen was so aus dem Segment nicht erreichbar ist.
Wie sollte das technisch auch gehen ??
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 14:17 Uhr
Hallo aqui,

ich hab folgende Menüpunkte unter Advanced auf der Zywall 5

NAT
STATIC ROUTE
POLICY ROUTE
BW MGMT
DNS
REMOTE MGMT
UPnP
Custom APP
ALG

leider kein policy based route

kann es sein, dass die Zywall 5 das nicht kann?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:22 Uhr
Policy Route und Policy based Route ist das gleiche ! Ist so als wenn du sagst ich hab nur "britisch" und kein "englisch"
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 16:41 Uhr
also ganz versteh ich es immer noch nicht

ich habe ein LAN - mit dem Netzwerksegment 192.168.168.0/24
ich habe eine DMZ - mit dem Netzwerksegment 192.168.200.0/24
der Proxy hat in der DMZ die Adresse 192.168.200.5

ich möchte die HTTP Pakete mit Port 80 an den Proxy in der DMZ umleiten

Source sind also alle Clients in 192.168.168.0
was ist dann Destination? irgendwo muss ich den Proxy doch angeben, oder?

Gateway ist die Gatewayadresse in der DMZ nehm ich an - also 192.168.200.1

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:47 Uhr
Eigentlich ist das so richtig. Source ist das 192.168.168.0/24 LAN Destination müsste "any" sein wenn es sich um Traffic ins Internet handelt und als Next Hop Gateway gibst du die 192.168.200.5 an.
Das sollte es gewesen sein. Auf einer pfSense in 3 Minuten zusammengeklickt im GUI und...funktioniert !
Bitte warten ..
Mitglied: Dance1
23.10.2013 um 17:38 Uhr
hallo aqui,

das war der richtige Hinweis, danke - endlich versteh ich was du gemeint hast - und es funktioniert FAST!
Ich hab den Proxy jetzt in's LAN statt in die DMZ gestellt - weil das Gateway ja scheinbar im selben Netzwerksegment stehen muss - passt.
Es funktioniert aber nur wenn ich bei Protokoll "All" angebe - wenn ich TCP und Port 80 auswähle, dann greift die Policy nicht!?
Möglicherweise ist da noch etwas am Squid Proxy einzustellen - obwohl ich dem Squid Port 80 auch als Port an dem er lauschen soll angegeben habe - zumindest funktioniert es mit Port 80 im Browser unter den Proxy-Einstellungen auch.
Vielen Dank für deine Hilfe - ich habe viel gelernt bis jetzt
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Antivirus HTTP Proxy sinnvoll?
Frage von MimemmmSicherheitsgrundlagen3 Kommentare

Hallo, haltet ihr es für sinnvoll in einem mittelständischen Unternehmen einen zentralen HTTP Proxy zu betreiben um Traffic auf ...

LAN, WAN, Wireless

Wie zeitgemäß ist ein HTTP-Proxy noch?

Frage von flyingKangarooLAN, WAN, Wireless5 Kommentare

Ich wollte mal fragen wie hier die (vermutlich nicht 'einhellige') Meinung so ist: Ist ein HTTP-Proxy im Unternehmensnetzwerk noch ...

Netzwerkmanagement

Proxy für den Betrieb in einer DMZ oder im LAN

gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten im Betrieb einen Squid Proxy installieren. Meine Frage ist nun, muss der Proxy in einer ...

Windows Server

Windows Server 2016 - HTTP Proxy

Frage von StefanT81Windows Server2 Kommentare

Hallo, ich suche mir einen Wolf nach einer vernünftigen Anleitung nach einem HTTP Proxy (Protokollierung). Ich habe einen Windows ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 9 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware15 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...