ST
12.02.10, 10:49
Liebes Forum,
ich betreibe zwei Hosts, beide Debian 5.0/Lenny (Host 1 - Mediawiki, Host 2 OTRS Ticketsystem) in einem LAN. Beide sprechen nur https und beide haben jeweils signierte Zertifikate.
Die beiden Maschinen sollen nun per https aus dem Internet erreichbar sein. Die Auflage ist, eine DMZ zu nutzen. Da die beiden bestehenden Hosts nicht in die DMZ sollen, habe ich einen dritten Host mit zwei netzwerkkarten eingerichtet, eine LAN eine DMZ. Debian 5.0 mit Squid Version 3.0.STABLE8 den ich als Debian Paket installiert habe (da ist ssl nicht an soweit ich das sehe - siehe squid3 -v am Ende des Posts).
Mit wurde gesagt (von einem Admin!!1!1!!), das Squid als reverse Proxy einfach https durchreichen kann. Also dumm, ohne etwas zu ver- oder entschlüsseln (hat dann auch keinen Cache oder sonstige Vorteile, außer eben ein Glied mehr in der Sicherheitskette). Leider bin ich nicht in der Lage, dass in der Doku zu finden oder umzusetzen.
1.) stimmt das?
2.) Wie sollte das für zwei Hosts konfiguriert werden
3.) geht das mit dem Debian Paket ohne SSL?
Falls diese Konfiguration nicht funktioniert, was ich stark annehme, muss ich dann die Zertifikate die eigentlich für die beiden Hosts sind auf dem Squid installieren oder muss ich für den Squid neue erstellen?
Funktioniert das generell, also ich habe wiki.domain.de und ticket.domain.de, beide zeigen laut DNS auf den Squid Proxy. Der macht die htps Verbindungen mit den Clients und kommuniziert nach hinten ins LAN per http mit den echten Hosts? Habe ich das richtig verstanden?
Viele liebe Grüße und vielen Dank im Vorraus
Stephan
-------------------------------------
squid3 -v
Squid Cache: Version 3.0.STABLE8
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,mu lti-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbin fo_group' '--with-filedescriptors=65536' '--with-default-user=proxy' '--enable-epoll' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CC=cc' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=g++' 'CXXFLAGS=-g -O2 -g -Wall -O2' 'FFLAGS=-g -O2'
ich betreibe zwei Hosts, beide Debian 5.0/Lenny (Host 1 - Mediawiki, Host 2 OTRS Ticketsystem) in einem LAN. Beide sprechen nur https und beide haben jeweils signierte Zertifikate.
Die beiden Maschinen sollen nun per https aus dem Internet erreichbar sein. Die Auflage ist, eine DMZ zu nutzen. Da die beiden bestehenden Hosts nicht in die DMZ sollen, habe ich einen dritten Host mit zwei netzwerkkarten eingerichtet, eine LAN eine DMZ. Debian 5.0 mit Squid Version 3.0.STABLE8 den ich als Debian Paket installiert habe (da ist ssl nicht an soweit ich das sehe - siehe squid3 -v am Ende des Posts).
Mit wurde gesagt (von einem Admin!!1!1!!), das Squid als reverse Proxy einfach https durchreichen kann. Also dumm, ohne etwas zu ver- oder entschlüsseln (hat dann auch keinen Cache oder sonstige Vorteile, außer eben ein Glied mehr in der Sicherheitskette). Leider bin ich nicht in der Lage, dass in der Doku zu finden oder umzusetzen.
1.) stimmt das?
2.) Wie sollte das für zwei Hosts konfiguriert werden
3.) geht das mit dem Debian Paket ohne SSL?
Falls diese Konfiguration nicht funktioniert, was ich stark annehme, muss ich dann die Zertifikate die eigentlich für die beiden Hosts sind auf dem Squid installieren oder muss ich für den Squid neue erstellen?
Funktioniert das generell, also ich habe wiki.domain.de und ticket.domain.de, beide zeigen laut DNS auf den Squid Proxy. Der macht die htps Verbindungen mit den Clients und kommuniziert nach hinten ins LAN per http mit den echten Hosts? Habe ich das richtig verstanden?
Viele liebe Grüße und vielen Dank im Vorraus
Stephan
-------------------------------------
squid3 -v
Squid Cache: Version 3.0.STABLE8
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,mu lti-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbin fo_group' '--with-filedescriptors=65536' '--with-default-user=proxy' '--enable-epoll' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CC=cc' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=g++' 'CXXFLAGS=-g -O2 -g -Wall -O2' 'FFLAGS=-g -O2'