scan5416
Goto Top

Internet mit transparentem Squid funktioniert nicht

Guten Abend zusammen

Im Vereinslokal bin ich daran eine Netzwerkinfrastruktur einzurichten.

Bis jetzt habe ich einen zentralen Server mit DHCP, DNS, Samba. Dies funktioniert alles.

Da es in letzter Zeit leider vermehrt vorgekommen ist, dass gewisse Users das Internet missbrauchten möchten wir ein Proxy Server (Squid) einrichten.
Dazu habe ich einen zweites Ubuntu 8.04 auf einem separaten PC aufgesetzt. Dazu ein Squid Server.

Der Weg ins Internet sollte danach logischer weise folgendermassen aussehen:

Modem - Proxy - W-LAN Bridge - Client

Da aber auch Mitglieder mit ihren eigenen Laptops kommen möchte nicht, dass die Einstellungen im Browser geändert werden müssen.

Ich habe mich im Internet erkundigt und herausgefunden, dass der Proxy als transparent eingestellt werden kann.
Das habe ich auch ausprobiert. Dazu habe ich im Webmin die Option "transparent" hinzugefügt.

Nachdem ich Squid neu gestartet habe versuchte ich mit einem Client in das Netzwerk zu kommen. Leider hat das nicht funktioniert. Es funktionierte nur, wenn im Browser den Proxy eingegeben hatte.

Danach dachte ich, ich könnte ja ein DHCP Server aufsetzten und dann per DHCP die Einstellungen für den Proxy dem Client übergeben. Nach einigem googlen habe ich herausgefunden, das dies nicht funktioniert.

Bei meiner "googlerei" habe ich auch herausgefunden, dass wenn der Proxy "transparent" ist die Verbindung zu einem FTP Server nicht funktioniert.

Jetzt meine Frage:

Ist es möglich die Server so zu konfigurieren das der Proxy ohne Einstellungen am Client funktioniert und auch auf FTP Server und so zugegriffen werden kann?
Wenn Ja, wie?
Wenn Nein, welche Alternativen gibt es?

Wenn ich es geschaft habe, versuche ich auch wieder eine schöne Anleitung zu schreiben. face-wink

Ich danke euch jetzt schon für eure Hilfe.

Grüsse

scan

Content-Key: 98114

Url: https://administrator.de/contentid/98114

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Netzheimer
Netzheimer 30.09.2008, aktualisiert am 18.10.2012 um 18:36:19 Uhr
Goto Top
Moin.

Versuche doch das ganze über eine Proxy.pac zu lösen. Ähnliche Beispiele gibt es hier und in der Suche unter Proxy.pac.
Mitglied: SlainteMhath
SlainteMhath 30.09.2008 um 08:25:20 Uhr
Goto Top
Moin,

du musst, um die User auf den Proxy umzuleiten, auf dem Gateway Portforwarding einrichten. Und zwar müssen alle pakete die vom LAN in Richtung WAN auf Port 80 gehen auf den Proxy Port (i.d.R. 3128) umngeleitet werden.

Die iptables Regel sieth in etwa so aus:
iptables  -t nat -A PREROUTING -i ${LAN} -p tcp --dport 80 -j REDIRECT --to-port 3128

${LAN} ist dein LAN interfaec

lg,
Slainte
Mitglied: scan5416
scan5416 01.10.2008 um 21:25:08 Uhr
Goto Top
Hallo

Vielen Dank für eure Antworten.

Der Eintrag bei iptabels kenne ich bereits nur ist mir noch nicht klar auf welchem PC ich diesen Eintragen muss.

Auf dem Server auf welchem der DNS, DHCP Dienst läuft oder auf dem Server welcher der Squid Dienst läuft oder auf jedem Client.


Der Lösungsansatz mit der proxy.pac Datei:
Wenn ich den PC reboote sind dann die Einstellungen weg, oder müssen diese von Hand wieder entfernt werden?

Grüsse

scan
Mitglied: SlainteMhath
SlainteMhath 02.10.2008 um 07:59:31 Uhr
Goto Top
Moin,

der iptables Eintrag muss, ausgehend von deiner Skizee, auf dem Proxy gemacht werden.

lg,
Slainte
Mitglied: scan5416
scan5416 02.10.2008 um 21:30:50 Uhr
Goto Top
Hi

Auf dem Proxy habe ich den Eintrag eingegeben, leider ohne Erfolg. Muss jedoch dazu sagen, dass die DSL Leitung einen "spinner" gehabt hat. Die DNS Auflösung hat nicht zuverlässig funktioniert.
Muss dies morgen nochmals Nachprüfen.

Zu meine Aufgbau:

DSL Router -> Server 1 (Proxy) -> Clients
-> Server 2 (DHCP, DNS, Samba)

Zu den Einstellungen:
DHCP:
Router IP: 192.168.1.40 (IP des Proxy Servers)

der iptables Eintrag ist auf dem Server 1 (Proxy) und Server 2 (DHCP, DNS, Samba) eingerichtet.


Leider kann ich irgendwie überhaupt nichts mit dem iptables Anfangen!
Was ist das?
Was macht das?
Gibt es da eine gute Erklärung?

Danke euch!

Grüsse

scan
Mitglied: Alternativende
Alternativende 05.10.2008 um 10:33:00 Uhr
Goto Top
Das was du möchtest musst du in der Squid.conf einstellen. Dort gibt es eine Option für einen transparenten Proxy. Das funktioniert, aber natürlich nicht wenn die Anmeldung am Proxy erforderlich ist. So könntest du bspw. verhindern, dass "jeder" surfen kann.

Als Contentfilter würde ich dir Dansguardian empfehlen, denn der Squid selbst dient ja nur als Proxy.
Mitglied: scan5416
scan5416 07.10.2008 um 18:15:44 Uhr
Goto Top
Vielen Dank für euche Lösungsvorschläge.

Leider bin ich diese Woche Abwesend und kann diese nicht ausprobieren.
Werde mich nächste Woche wieder melden.

Grüsse

scan
Mitglied: lemmi222
lemmi222 17.10.2008 um 12:54:34 Uhr
Goto Top
iptables ist die Kernel level firewall.

Im wesentlichen stellt iptables einen Paketfilter und Paketredirector zur Verfügung.

Mit dem oben beschrieben Befehl z. B. leitest Du Pakete mit dem Zielport 80 (http), die ins internet geroutet werden sollen auf den lokalen Port 3128 (squid) um.
Mitglied: scan5416
scan5416 22.10.2008 um 23:54:25 Uhr
Goto Top
Das heisst, dass ich die iptables lokal auf jedem Client einrichten muss?

Oder reicht das auf einem Server im Netzwerk?
Wenn ja, wird bei jeder Anfrage nach diesen Einträgen gesucht oder wie funktioniert das?

Vielen Dank für deine Hilfe.


Grüsse

scan
Mitglied: lemmi222
lemmi222 27.10.2008 um 10:25:05 Uhr
Goto Top
Für einen transparenten Squid proxy, sollte die Portumleitung mit IP-Tables natürlich auf dem Rechner erfolgen, der als Proxy läuft.
Er ist bei den Clients lediglich als default Router einzutragen.

- Der Browser richtet seine HTTP Anfrage an Port 80 irgendeines Rechners im Internet
Da der Rechner im Internet sich in einem anderen Netzwerk befindet, wird die Anfrage über das Gateway geleitet.
- Das Gateway nimmt die Anfrage an. Vor weiterleitung ins Internet richtet es über IP-Tables die Anfrage an den lokalen Port 3128.
- Der Proxy Squid nimmt die Anfrage an. Er richtet sie nunmehr an den Server im Internet. Er empfängt auch die Antwort aus dem INternet, und leitet sie wieserum an den Client weiter.


Gruß

Lemmi
Mitglied: lemmi222
lemmi222 27.10.2008 um 10:26:29 Uhr
Goto Top
Mitglied: scan5416
scan5416 23.11.2008 um 00:56:51 Uhr
Goto Top
Guten Abend zusammen

Vielen Dank für eure Hilfe.

Leider muss ich diese Projekt wegen meinem Aufenthalt im Militär. Wie man in der Schweiz so schön sag "Vier Farben Anzug" ein bisschen zurück stecken.

Ich danke euch allen für die Hilfe, werde diese wenn ich Zeit habe anschauen und ausprobieren.


Grüsse aus der Schweiz

Scan