12
Firewall Zywall 5 und USG20 - HTTP Verkehr aus dem LAN in DMZ zu HTTP-Proxy umleiten - transparenter Proxy
Guten Tag,
vielleicht kann mit hier jemand den richtigen Weg weisen!
Ich möchte den HTTP Verkehr aus dem LAN in die DMZ, auf einen HTTP-Proxy Server umleiten - wie macht man das auf der Firewall, um nicht an jedem PC die Eingaben im Browser angeben zu müssen?
Anleitungen wie das von Außen funktioniert (port forwarding) existieren im Internet genug - aus dem LAN heraus weniger!
Muss das mit policy route gemacht werden?
Auf den Zywalls NATe ich, LAN und DMZ sind private Netze.
Würd mich über Hilfe freuen!
Gruß - Marco
vielleicht kann mit hier jemand den richtigen Weg weisen!
Ich möchte den HTTP Verkehr aus dem LAN in die DMZ, auf einen HTTP-Proxy Server umleiten - wie macht man das auf der Firewall, um nicht an jedem PC die Eingaben im Browser angeben zu müssen?
Anleitungen wie das von Außen funktioniert (port forwarding) existieren im Internet genug - aus dem LAN heraus weniger!
Muss das mit policy route gemacht werden?
Auf den Zywalls NATe ich, LAN und DMZ sind private Netze.
Würd mich über Hilfe freuen!
Gruß - Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 219939
Url: https://administrator.de/contentid/219939
Printed on: April 19, 2024 at 12:04 o'clock
12 Comments
Latest comment
Hi.
Bei der USG hast du doch unter Netzwerkeinstellungen die Funktion HTTP Umleitung.
Zywall weiß ich es nicht mehr genau, aber auch da sollte es eine HTTP Umleitung auf einen Proxy geben.
LG Günther
Bei der USG hast du doch unter Netzwerkeinstellungen die Funktion HTTP Umleitung.
Zywall weiß ich es nicht mehr genau, aber auch da sollte es eine HTTP Umleitung auf einen Proxy geben.
LG Günther
Hallo Günther,
du hast vollkommen recht - bei der USG gibt es diesen Punkt - vielen Danke für den Hinweis!
Ich hab mich bisher nur mit der Zywall 5 bezüglich des Proxy's beschäftigt - dort gibt es diese HTTP-Umleitung leider nicht!
lieben Gruß - Marco
du hast vollkommen recht - bei der USG gibt es diesen Punkt - vielen Danke für den Hinweis!
Ich hab mich bisher nur mit der Zywall 5 bezüglich des Proxy's beschäftigt - dort gibt es diese HTTP-Umleitung leider nicht!
lieben Gruß - Marco
Ansonsten geht das auch immer mit Policy Based Routing indem man über eine ACL den Port TCP 80 Traffic mit einem anderen next Hop Gateway, dem Proxy, versieht.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Hallo aqui,
ich hab's geahnt - hab ich auch schon probiert, hab da aber scheinbar etwas falsch angegeben.
diese Infos möchte die Zywall 5 von mir:
unter Criteria
Protokoll: TCP
Source: LAN
Starting IP Adress: 192.168.168.2
Ending IP Adress: 192.168.168.200
Starting Port: 80
Ending Port: 80
Destination: da kann ich, so wie bei Source oben, die DMZ nicht auswählen
Starting IP Adress: 192.168.200.5
Ending IP Adress: 192.168.200.5
Starting Port: 80 (oder 3128 für den Squid)
Ending Port: 80 (oder 3128 für den Squid)
Action Applies to: Matched
unter Routing Action:
Gateway: userdefined 192.168.200.1 (Gateway DMZ)
das müsste doch eigentlich passen, oder?
lieben Gruß - Marco
ich hab's geahnt - hab ich auch schon probiert, hab da aber scheinbar etwas falsch angegeben.
diese Infos möchte die Zywall 5 von mir:
unter Criteria
Protokoll: TCP
Source: LAN
Starting IP Adress: 192.168.168.2
Ending IP Adress: 192.168.168.200
Starting Port: 80
Ending Port: 80
Destination: da kann ich, so wie bei Source oben, die DMZ nicht auswählen
Starting IP Adress: 192.168.200.5
Ending IP Adress: 192.168.200.5
Starting Port: 80 (oder 3128 für den Squid)
Ending Port: 80 (oder 3128 für den Squid)
Action Applies to: Matched
unter Routing Action:
Gateway: userdefined 192.168.200.1 (Gateway DMZ)
das müsste doch eigentlich passen, oder?
lieben Gruß - Marco
Ja das passt und sieht gut aus sofern das im Menü "Policy Based Routing" abgefragt wird und nicht NAT oder sowas...?!
Source sind die Absender IPs aus dem lokalen LAN, Port ist klar...
Destination müsste die Zieladresse sein, wenn das Internet ist muss da sowas wie "ANY" hin, denn du kannst da ja nicht 1 Million Internet IP Adressen eingeben
Source sind die Absender IPs aus dem lokalen LAN, Port ist klar...
Destination müsste die Zieladresse sein, wenn das Internet ist muss da sowas wie "ANY" hin, denn du kannst da ja nicht 1 Million Internet IP Adressen eingeben
hallo aqui,
Policy Routing nennt sich das auf der Zywall 5. In der Hilfe dazu schreiben sie auch policy-based Routing - das dürfte schon passen.
Source ist klar - genau.
Destination ist in meinem Fall der HTTP Proxy in der DMZ, nicht das Internet - der Proxy soll sich mit den IP Adressen des Internets auseinandersetzen ;)
Leider bekomm ich die Policy nicht so hin, dass die Zywall die Pakete in die DMZ umleitet so wie es aussieht - zumindest kann ich im Log nichts derartiges erkennen und am Proxy selber kommt nichts an
Policy Routing nennt sich das auf der Zywall 5. In der Hilfe dazu schreiben sie auch policy-based Routing - das dürfte schon passen.
Source ist klar - genau.
Destination ist in meinem Fall der HTTP Proxy in der DMZ, nicht das Internet - der Proxy soll sich mit den IP Adressen des Internets auseinandersetzen ;)
Leider bekomm ich die Policy nicht so hin, dass die Zywall die Pakete in die DMZ umleitet so wie es aussieht - zumindest kann ich im Log nichts derartiges erkennen und am Proxy selber kommt nichts an
Nein, eine Policy Router kann ja nur diese relevanten Pakete an ein andere Gateway forwarden. Diese Gateway IP muss sich im Netzbereich an der Zywall befinden sonst klappt das logischerweise nicht. Sie kann nicht in einem anderen Netzwerk liegen was so aus dem Segment nicht erreichbar ist.
Wie sollte das technisch auch gehen ??
Wie sollte das technisch auch gehen ??
Hallo aqui,
ich hab folgende Menüpunkte unter Advanced auf der Zywall 5
NAT
STATIC ROUTE
POLICY ROUTE
BW MGMT
DNS
REMOTE MGMT
UPnP
Custom APP
ALG
leider kein policy based route
kann es sein, dass die Zywall 5 das nicht kann?
lieben Gruß - Marco
ich hab folgende Menüpunkte unter Advanced auf der Zywall 5
NAT
STATIC ROUTE
POLICY ROUTE
BW MGMT
DNS
REMOTE MGMT
UPnP
Custom APP
ALG
leider kein policy based route
kann es sein, dass die Zywall 5 das nicht kann?
lieben Gruß - Marco
Policy Route und Policy based Route ist das gleiche ! Ist so als wenn du sagst ich hab nur "britisch" und kein "englisch"
also ganz versteh ich es immer noch nicht 
ich habe ein LAN - mit dem Netzwerksegment 192.168.168.0/24
ich habe eine DMZ - mit dem Netzwerksegment 192.168.200.0/24
der Proxy hat in der DMZ die Adresse 192.168.200.5
ich möchte die HTTP Pakete mit Port 80 an den Proxy in der DMZ umleiten
Source sind also alle Clients in 192.168.168.0
was ist dann Destination? irgendwo muss ich den Proxy doch angeben, oder?
Gateway ist die Gatewayadresse in der DMZ nehm ich an - also 192.168.200.1
lieben Gruß - Marco
ich habe ein LAN - mit dem Netzwerksegment 192.168.168.0/24
ich habe eine DMZ - mit dem Netzwerksegment 192.168.200.0/24
der Proxy hat in der DMZ die Adresse 192.168.200.5
ich möchte die HTTP Pakete mit Port 80 an den Proxy in der DMZ umleiten
Source sind also alle Clients in 192.168.168.0
was ist dann Destination? irgendwo muss ich den Proxy doch angeben, oder?
Gateway ist die Gatewayadresse in der DMZ nehm ich an - also 192.168.200.1
lieben Gruß - Marco
Eigentlich ist das so richtig. Source ist das 192.168.168.0/24 LAN Destination müsste "any" sein wenn es sich um Traffic ins Internet handelt und als Next Hop Gateway gibst du die 192.168.200.5 an.
Das sollte es gewesen sein. Auf einer pfSense in 3 Minuten zusammengeklickt im GUI und...funktioniert !
Das sollte es gewesen sein. Auf einer pfSense in 3 Minuten zusammengeklickt im GUI und...funktioniert !
hallo aqui,
das war der richtige Hinweis, danke - endlich versteh ich was du gemeint hast - und es funktioniert FAST!
Ich hab den Proxy jetzt in's LAN statt in die DMZ gestellt - weil das Gateway ja scheinbar im selben Netzwerksegment stehen muss - passt.
Es funktioniert aber nur wenn ich bei Protokoll "All" angebe - wenn ich TCP und Port 80 auswähle, dann greift die Policy nicht!?
Möglicherweise ist da noch etwas am Squid Proxy einzustellen - obwohl ich dem Squid Port 80 auch als Port an dem er lauschen soll angegeben habe - zumindest funktioniert es mit Port 80 im Browser unter den Proxy-Einstellungen auch.
Vielen Dank für deine Hilfe - ich habe viel gelernt bis jetzt
das war der richtige Hinweis, danke - endlich versteh ich was du gemeint hast - und es funktioniert FAST!
Ich hab den Proxy jetzt in's LAN statt in die DMZ gestellt - weil das Gateway ja scheinbar im selben Netzwerksegment stehen muss - passt.
Es funktioniert aber nur wenn ich bei Protokoll "All" angebe - wenn ich TCP und Port 80 auswähle, dann greift die Policy nicht!?
Möglicherweise ist da noch etwas am Squid Proxy einzustellen - obwohl ich dem Squid Port 80 auch als Port an dem er lauschen soll angegeben habe - zumindest funktioniert es mit Port 80 im Browser unter den Proxy-Einstellungen auch.
Vielen Dank für deine Hilfe - ich habe viel gelernt bis jetzt
