PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : proxy



dominic
30.01.04, 16:47
Ich bekomme es nicht gebacken einen Proxy-server zum laufen zu kriegen. Ich möchte nur Probeweise zu Hause einen 2000 Client über den Proxy ins Internet gehen lassen.
1. Frage: Muss überhaupt außer dem proxy noch etwas konfiguriert werden?
2. Kann mir jemand mal seine lauffähige squid.conf geben um zu vergleichen woran es liegt.
Ich möchte erstmal nur das der 2000 client ins internet kann, keine acls, anmeldung.
Leider bin ich an der arbeit und kann meine squid.conf nicht darlegen.

zini2001
31.01.04, 12:55
ähnliches problem.....würd gern proxy nutzen!!

meine frage ist, ist nicht wie das ding funzt http://www.squid-handbuch.de/ sondern eher die harmonie mit
suse 8.2 als router mit SuSEfirewall2.
kann squid alleine laufen ohne paketfilter.
sollte squid besser mit paketfilter rennen.

es gibt ja ne einstellung in SuSEfirewall2 die aktiviert werden möchte sobald squid installiert ist.
bin in der hinsicht unschlüssig.......!!

Floh
31.01.04, 15:27
Original geschrieben von dominic
Ich bekomme es nicht gebacken einen Proxy-server zum laufen zu kriegen. Ich möchte nur Probeweise zu Hause einen 2000 Client über den Proxy ins Internet gehen lassen.
1. Frage: Muss überhaupt außer dem proxy noch etwas konfiguriert werden?
2. Kann mir jemand mal seine lauffähige squid.conf geben um zu vergleichen woran es liegt.
Ich möchte erstmal nur das der 2000 client ins internet kann, keine acls, anmeldung.
Leider bin ich an der arbeit und kann meine squid.conf nicht darlegen.

ACL wird benötigt.
In der squid.conf ist ein Beispiel beschrieben, setze acl einfach wie in dem Beispiel auf "allow all" und lösche die restlichen acls. Bedenke, dass nun jeder deinen Squid nutzen könnte.

Floh

r2k
31.01.04, 15:30
Dies ist meine Squidconf:

http_port 3128
cache_dir ufs /var/cache/squid 256 16 256
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Hier das Subnet angeben:
acl lan src 10.0.0.0/255.0.0.0



acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8


acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_access allow lan

http_access allow localhost all
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
coredump_dir /var/cache/squid


Gruess
r2k

Floh
31.01.04, 15:53
Lies' dir bitte genau den Abschnitt zu den access controls durch.

Eine einfache Version wäre z.B. die von mir verwendete, wobei mein Netz 192.168.0.0 ist:

acl all src 192.168.0.0/255.255.255.0

Das definiert die Zugriffsrechte auf IP-Basis.

Ein http_access allow all gibt http für alle frei.

Bedenke bitte, dass du dir u.U. Sicherheitslücken einhandelst bzw. dass dein Proxy missbraucht werden kann.

Floh

zini2001
31.01.04, 16:36
habt ihr denn auch ne antwort auf meine frage oder soll ich nen neuen thread oder wie das heisst aufmachen??
hab mich hier reingemogelt weil die proxy geschichte grad aktuell war...

gruß zini

Floh
31.01.04, 16:51
Was genau ist denn deine Frage?

zini2001
31.01.04, 17:00
siehe oben

kann squid alleine laufen ohne paketfilter.
sollte squid besser mit paketfilter rennen.

Floh
31.01.04, 17:04
Nimm's nicht als Kritik, aber ein ? schadet nicht, wenn du eine Frage stellen möchtest.

Zum Thema:
Squid benötigt natürlich keinen Paketfilter zur Funktion. Squid läuft auch nicht besser, wenn ein Paketfilter installiert ist.

Gruß, Floh

zini2001
31.01.04, 17:24
so hier ist das versprochene fragezeichen!!

das hab ich leider nicht gemeint.....wie soll ich das sagen???
also wie sieht das mit der sicherheit aus wenn ich ne nackte distri (hier suse)
installier und squid hechelt da drauf rum. die ports sind dann dennoch offen??
oder wie?? da hab ich so meine verständniss probleme.

mit anderen worten ein paketfilter (firewall) und squid gleichzeitig bin ich auf der richtigen seite??

gruß zini

EDIT: OK ich drück mich echt nicht leicht aus......also zwischen den zeilen lesen.

squid ist nur ein proxy ..mehr nicht! er beinhaltet keine paketfilter funtionen.
oder doch wenn man die acl richtig setzt????

Floh
31.01.04, 17:48
Es gibt zwei Situationen:
a) Die entsprechende Maschine läuft nur im lokalen Netz hinter einem Router, der sämtliche Sicherheitsfunktionen beinhaltet-so habe ich es hier gelöst. Bei der Maschine brauche ich dann auf Sicherheit keinen besonderen Wert legen, da diese Maschine nur vom internen Netz erreichbar ist.

b) Die Maschine stellt einen Gateway ins Netz der Netze dar.
Ich gehe davon aus, dass du diese Konstellation meinst.

Hast du nun einen Squid auf dieser Maschine laufen, könnte zunächst jeder von extern auf diesen Dienst zugreifen. Durch die ACLs schränkst du die Nutzung sinnvollerweise auf das interne Netz ein. Ein Paketfilter ist somit überflüssig.

Analogie besteht hier z.B. zu einem Mailserver, Webserver, Fileserver.

Ein Paketfilter ist in meinen Augen dann sinnvoll, wenn du explizit Dienste für extern freigeben möchtest und diese nicht auf der routenden Maschine (Gateway) angeboten werden (Stichwort portforwarding).

Ein Router ist ein Router und kein Server - für blutige Beginner, die noch einen alten Rechner rumstehen haben, ist der Einsatz eines Software-Router a la Fli4l sinnvoll. Sämtliche internen Maschinen sind dann geschützt und können auch bei Fehlkonfiguration nicht ausser Kontrolle geraten.

just my 2 cents...Floh