Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Zywall 5 und USG20 - HTTP Verkehr aus dem LAN in DMZ zu HTTP-Proxy umleiten - transparenter Proxy

Frage Sicherheit Firewall

Mitglied: Dance1

Dance1 (Level 1) - Jetzt verbinden

21.10.2013 um 10:51 Uhr, 2963 Aufrufe, 12 Kommentare

Guten Tag,

vielleicht kann mit hier jemand den richtigen Weg weisen!

Ich möchte den HTTP Verkehr aus dem LAN in die DMZ, auf einen HTTP-Proxy Server umleiten - wie macht man das auf der Firewall, um nicht an jedem PC die Eingaben im Browser angeben zu müssen?
Anleitungen wie das von Außen funktioniert (port forwarding) existieren im Internet genug - aus dem LAN heraus weniger!
Muss das mit policy route gemacht werden?
Auf den Zywalls NATe ich, LAN und DMZ sind private Netze.

Würd mich über Hilfe freuen!

Gruß - Marco
Mitglied: GuentherH
21.10.2013 um 11:28 Uhr
Hi.

Bei der USG hast du doch unter Netzwerkeinstellungen die Funktion HTTP Umleitung.

Zywall weiß ich es nicht mehr genau, aber auch da sollte es eine HTTP Umleitung auf einen Proxy geben.

LG Günther
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 11:49 Uhr
Hallo Günther,

du hast vollkommen recht - bei der USG gibt es diesen Punkt - vielen Danke für den Hinweis!
Ich hab mich bisher nur mit der Zywall 5 bezüglich des Proxy's beschäftigt - dort gibt es diese HTTP-Umleitung leider nicht!

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 11:51 Uhr
Ansonsten geht das auch immer mit Policy Based Routing indem man über eine ACL den Port TCP 80 Traffic mit einem anderen next Hop Gateway, dem Proxy, versieht.

Wenns das denn war bitte
http://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 12:21 Uhr
Hallo aqui,

ich hab's geahnt - hab ich auch schon probiert, hab da aber scheinbar etwas falsch angegeben.

diese Infos möchte die Zywall 5 von mir:

unter Criteria

Protokoll: TCP
Source: LAN
Starting IP Adress: 192.168.168.2
Ending IP Adress: 192.168.168.200
Starting Port: 80
Ending Port: 80
Destination: da kann ich, so wie bei Source oben, die DMZ nicht auswählen
Starting IP Adress: 192.168.200.5
Ending IP Adress: 192.168.200.5
Starting Port: 80 (oder 3128 für den Squid)
Ending Port: 80 (oder 3128 für den Squid)
Action Applies to: Matched

unter Routing Action:

Gateway: userdefined 192.168.200.1 (Gateway DMZ)

das müsste doch eigentlich passen, oder?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 12:42 Uhr
Ja das passt und sieht gut aus sofern das im Menü "Policy Based Routing" abgefragt wird und nicht NAT oder sowas...?!
Source sind die Absender IPs aus dem lokalen LAN, Port ist klar...
Destination müsste die Zieladresse sein, wenn das Internet ist muss da sowas wie "ANY" hin, denn du kannst da ja nicht 1 Million Internet IP Adressen eingeben
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 16:03 Uhr
hallo aqui,

Policy Routing nennt sich das auf der Zywall 5. In der Hilfe dazu schreiben sie auch policy-based Routing - das dürfte schon passen.
Source ist klar - genau.
Destination ist in meinem Fall der HTTP Proxy in der DMZ, nicht das Internet - der Proxy soll sich mit den IP Adressen des Internets auseinandersetzen ;)
Leider bekomm ich die Policy nicht so hin, dass die Zywall die Pakete in die DMZ umleitet so wie es aussieht - zumindest kann ich im Log nichts derartiges erkennen und am Proxy selber kommt nichts an
Bitte warten ..
Mitglied: aqui
22.10.2013 um 10:13 Uhr
Nein, eine Policy Router kann ja nur diese relevanten Pakete an ein andere Gateway forwarden. Diese Gateway IP muss sich im Netzbereich an der Zywall befinden sonst klappt das logischerweise nicht. Sie kann nicht in einem anderen Netzwerk liegen was so aus dem Segment nicht erreichbar ist.
Wie sollte das technisch auch gehen ??
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 14:17 Uhr
Hallo aqui,

ich hab folgende Menüpunkte unter Advanced auf der Zywall 5

NAT
STATIC ROUTE
POLICY ROUTE
BW MGMT
DNS
REMOTE MGMT
UPnP
Custom APP
ALG

leider kein policy based route

kann es sein, dass die Zywall 5 das nicht kann?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:22 Uhr
Policy Route und Policy based Route ist das gleiche ! Ist so als wenn du sagst ich hab nur "britisch" und kein "englisch"
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 16:41 Uhr
also ganz versteh ich es immer noch nicht

ich habe ein LAN - mit dem Netzwerksegment 192.168.168.0/24
ich habe eine DMZ - mit dem Netzwerksegment 192.168.200.0/24
der Proxy hat in der DMZ die Adresse 192.168.200.5

ich möchte die HTTP Pakete mit Port 80 an den Proxy in der DMZ umleiten

Source sind also alle Clients in 192.168.168.0
was ist dann Destination? irgendwo muss ich den Proxy doch angeben, oder?

Gateway ist die Gatewayadresse in der DMZ nehm ich an - also 192.168.200.1

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:47 Uhr
Eigentlich ist das so richtig. Source ist das 192.168.168.0/24 LAN Destination müsste "any" sein wenn es sich um Traffic ins Internet handelt und als Next Hop Gateway gibst du die 192.168.200.5 an.
Das sollte es gewesen sein. Auf einer pfSense in 3 Minuten zusammengeklickt im GUI und...funktioniert !
Bitte warten ..
Mitglied: Dance1
23.10.2013 um 17:38 Uhr
hallo aqui,

das war der richtige Hinweis, danke - endlich versteh ich was du gemeint hast - und es funktioniert FAST!
Ich hab den Proxy jetzt in's LAN statt in die DMZ gestellt - weil das Gateway ja scheinbar im selben Netzwerksegment stehen muss - passt.
Es funktioniert aber nur wenn ich bei Protokoll "All" angebe - wenn ich TCP und Port 80 auswähle, dann greift die Policy nicht!?
Möglicherweise ist da noch etwas am Squid Proxy einzustellen - obwohl ich dem Squid Port 80 auch als Port an dem er lauschen soll angegeben habe - zumindest funktioniert es mit Port 80 im Browser unter den Proxy-Einstellungen auch.
Vielen Dank für deine Hilfe - ich habe viel gelernt bis jetzt
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Proxy für den Betrieb in einer DMZ oder im LAN (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
ZyXEL ZyWALL USG20 - DDNS (1)

Frage von devanager zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...