6
Proxyserver-Squid wegen Firewall überspringen
Hallo zusammen,
ich habe folgenden Aufbau:
Client hat als Proxy im Internet Explorer den Squid-Server eingetragen.
Der Squid-Server wiederrum "routet" nach erfolgreicher Prüfung & Cache zur
Firewall, die wiederrum prüft.
Die Regeln an der Firewall sind abhängig von der Client-IP und somit habe
ich ein Problem: Die Firewall sieht als Absender ja nur die IP vom Squid-Server,
hier brauche ich aber die Client-IP.
Ich habe es damit versucht:
acl test dst x.x.x.x
always_direct allow test
Leider ohne Erfolg. Die acl stimmt, Zugang funktioniert auch aber leider bekomme
ich nach wie vor die Proxy-IP statt der Client-IP an der Firewall. Ich weiß, der
Aufbau hört sich durch die beiden Prüfungen etwas komisch an, lässt sich
aber nicht vermeiden.
Hat jemand einen Tipp? Gibt es eventuell noch einen besseren Weg?
Danke,
endorphin
ich habe folgenden Aufbau:
Client hat als Proxy im Internet Explorer den Squid-Server eingetragen.
Der Squid-Server wiederrum "routet" nach erfolgreicher Prüfung & Cache zur
Firewall, die wiederrum prüft.
Die Regeln an der Firewall sind abhängig von der Client-IP und somit habe
ich ein Problem: Die Firewall sieht als Absender ja nur die IP vom Squid-Server,
hier brauche ich aber die Client-IP.
Ich habe es damit versucht:
acl test dst x.x.x.x
always_direct allow test
Leider ohne Erfolg. Die acl stimmt, Zugang funktioniert auch aber leider bekomme
ich nach wie vor die Proxy-IP statt der Client-IP an der Firewall. Ich weiß, der
Aufbau hört sich durch die beiden Prüfungen etwas komisch an, lässt sich
aber nicht vermeiden.
Hat jemand einen Tipp? Gibt es eventuell noch einen besseren Weg?
Danke,
endorphin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93078
Url: https://administrator.de/contentid/93078
Printed on: April 19, 2024 at 01:04 o'clock
6 Comments
Latest comment
was prüft denn die firewall?
lässt sich die prüfung nicht schon im squid realisieren?
lässt sich die prüfung nicht schon im squid realisieren?
Welche Firewallloesung verwendest Du? Hardware oder Software?
Die Firewall prüft auf bestimmte Client-IPs. Wenn eine darunter ist, bekommt dieser Client nur eingeschränkten Internet-Zugang auf ein paar Seiten.
Alle anderen bekommen vollen Zugang.
Das könnte man natürlich auch am Squid machen, weil ich die gleiche Konstellation mit der Firewall
an anderen Standorten auch so habe (die haben keinen Squid), will ich das auch hier so beibehalten.
Du kennst das sicher, sonst gibt es wieder eine Ausnahme zur Regel.
Deswegen dieser Aufbau.
Alle anderen bekommen vollen Zugang.
Das könnte man natürlich auch am Squid machen, weil ich die gleiche Konstellation mit der Firewall
an anderen Standorten auch so habe (die haben keinen Squid), will ich das auch hier so beibehalten.
Du kennst das sicher, sonst gibt es wieder eine Ausnahme zur Regel.
Deswegen dieser Aufbau.
Es kommt hier eine Hardwarelösung von Watchguard zum Einsatz.
Kann ich übrigends nur empfehlen!
Kann ich übrigends nur empfehlen!
Hallo,
an der Firewall kommt nur die IP-Adresse vom Squid an, alle anderen Prüfungen bzgl. Internetzugang der einzelenen Client-IP's MÜSSEN am Squid erfolgen.
mfg
Harald
an der Firewall kommt nur die IP-Adresse vom Squid an, alle anderen Prüfungen bzgl. Internetzugang der einzelenen Client-IP's MÜSSEN am Squid erfolgen.
mfg
Harald
Hallo Harald,
das hört sich sehr entgültig an, kann ich mir aber OSI-mäßig vorstellen.
Danke schonmal!
das hört sich sehr entgültig an, kann ich mir aber OSI-mäßig vorstellen.
Danke schonmal!
