PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vorgehensweise? Linux mit Squid als Proxy



Wurstpelle
17.09.09, 17:38
Hallo,

würde mich über Tipps in Sachen Netzwerkkonfiguration zu folgendem Vorhaben freuen (bin in Routing-Fragen leider noch nicht so fit):

Ich möchte mir mit Squid auf Debian einen Web Proxy für ein kleines Firmennetzwerk basteln, um hiermit Webzugriffe zu cachen, aber auch die Zugriffe zu kontrollieren (auf User-Basis bzw. mit SquidGuard). Diesen möchte ich zwischen das Intranet und den DSL-Router hängen. Hab mir hierfür schon einen Linux-Host mit zwei Netzwerkkarten zusammengeschraubt und ein Debian 5.03 aufgespielt, den es nun zu konfigurieren gilt.

Momentan hängen noch alle Rechner an einem DSL-Router (192.168.0.254), der auf allen PCs als Gateway eingetragen ist. Meine (naive?) Vorstellung ist nun, dass mein neuer Proxy die 192.168.0.254 übernimmt, der DSL-Router in einem eigenen Subnetz liegt (z.B. 192.168.1.254) und mein neuer Proxy dazwischen hängt. Der Proxy hätte dann z.B. die Adressen

eth0: 192.168.0.254
eth1: 192.168.1.1 (verbunden mit DSL an 192.168.1.254)

und würde den gesamten Netzwerkverkehr zwischen 192.168.0.x und dem DSL an 192.168.1.254 hin und herschaufeln und dabei eben zusätzlich den HTTP-Verkehr über Squid laufen lassen.

Die beiden Netzwerkkarten bekomme ich noch konfiguriert, auch fürSquid gibt es genauf Infos und Dokus, aber was den Netzwerkverkehr selbst angeht, da könnte ich ein bissi Grundlagen-Nachhilfe gebrauchen: wie konfiguriere ich prinzipiell das Debian so, dass der komplette Netzwerkverkehr vermittelt wird (Stichwort Paket-Forwarding etc.)? Alles was da noch so über die anderen Ports läuft (FTP, SSH. Mails,...) soll ja (erstmal) ungefiltert durch.

Vielleicht kann es mir ja jemand so erklären, dass im ersten Schritt Squid noch aussen vor bleibt und der komplette Traffic einfach nur (eth0 <=> eth1) durchgeschleust wird und dann - erst im zweiten Schritt - der "Web-Traffic" über Squid läuft....

Tausend dank schon mal für die Hilfe :-)
Micha

marce
17.09.09, 18:08
Suchbegriffe dürften sein NAT, (Port)forwarding und iptables.

Wurstpelle
17.09.09, 18:32
ok, merci, werd ich mal googeln. Wenn dann jemand für meinen konkreten Fall trotzdem ein config-Beispiel locker machen würde wäre ich dankbar :-)

L00NIX
17.09.09, 21:26
Ein einfaches Routing erreichst du mit


# echo 1 > /proc/sys/net/ipv4/ip_forward

auf dem Router, natürlich ohne den Verkehr irgendwie zu filtern. Hiermit schaltet man lediglich das Routing im Kernel für das IP-Protokoll (V4) frei.

Dann mal testweise auf einem Client den Router als Default Gateway eintragen und staunen. ;)

Gruß
L00NIX

Wurstpelle
18.09.09, 00:28
und mit dieser schlichten "1" weiss dann das System, dass zwischen eth0 und eth1 weiterzuleiten ist?? mhh.. das klingt simpel.

Ist das Filtern per Squid dann genauso einfach?

L00NIX
18.09.09, 10:59
und mit dieser schlichten "1" weiss dann das System, dass zwischen eth0 und eth1 weiterzuleiten ist?? mhh.. das klingt simpel.

Ist das Filtern per Squid dann genauso einfach?

Suche nach SquidGuard in deiner Paketverwaltung und lies die Dokumentation.

alexh
21.09.09, 08:33
und mit dieser schlichten "1" weiss dann das System, dass zwischen eth0 und eth1 weiterzuleiten ist?? mhh.. das klingt simpel.


Aber Achtung: Die Einstellungen sind nicht persistent.
Um das Routing anzuschalten, solltest du folgenden Eintrag in der /etc/sysctl.conf anlegen:

net.ipv4.ip_forward = 0

Rain_maker
21.09.09, 14:25
Aber Achtung: Die Einstellungen sind nicht persistent.
Um das Routing anzuschalten, solltest du folgenden Eintrag in der /etc/sysctl.conf anlegen:

net.ipv4.ip_forward = 0
Fipptehler?

Du meinst sicher entweder "um es abzuschalten" (dann würde die 0 passen) oder aber da muss eine "1" als Wert hinter das "=" um es wirklich dauerhaft anzuschalten.

L00NIX
21.09.09, 20:13
Normalerweise steht die Zeile, die ich oben gepostet habe auch im Firewallskript und ist damit dann permanent/ bootfest.