PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : squid proxy + firewall! config



inquire-city
04.08.02, 19:34
squid proxy + firewall!

Hi zusammen!

Was muß ich in der firewall configurationsfile (welche unter suse 8.0?) ändern, damit ich noch mit squid sicher surfe? (weil ich ja dann vom client nur port 3128 benutze, und alles DURCH die firewall getunnelt werden muß,oder?)

beim portscan ist zwar alles stealth, aber anfangs zeigt er eine falsche ip an, woran liegt das?

wie kann ich squid automatisch starten? im handbuch steht /etc/init.d/squid, aber die existiert nicht!

ich habe das gefühl, das squid nicht ALLES puffert, weil es immer noch viel aus dem Netz saugt! Wie kann ich das umgehen?

habt vielen dank!

MarioH
04.08.02, 20:16
Hallo,

das sind ja gleich viele Fragen auf einmal.

Also....
1. Eine Paketfilternde Firewall (iptables bei SuSE 8) verhindert den Zugriff von bestimmten Interfaces (internes Netz, ppp0 bei DSL, ippp0 bei ISDN usw.) auf bestimmte auf der Firewall oder dahinter laufende Dienste. Deine Firewall dichtet zum Beispiel alle Ports ins Internet ab, wenn du das so willst. Wenn du den Port 3128 für Squid also nur ins interne Netz freigibst (zB eth0) ist deine Firewall also genauso sicher wie vor der Freigabe :-) , d.h. eigentlich ist sie jetzt noch sicherer, denn du hast jetzt sogar soetwas wie ein "Application-Level-Firewall", da die Clients nicht mehr direkt via Masquerading sondern über den Proxy aufs Netz zugreifen.


2. Zum Starten von Squid beim Systemstart benutzt du den Runlevel-Editor von YAST, hier aktivierst du Squid für den Runlevel 3, wenn du Linux im Textmodus startest und für den Runlevel 5, wenn du im Grafikmodus startest (oder eben für beide).

3. Squid cached die Elemente aus dem Netz zum einen danach, was für eine Gültigkeitsdauer im HTML-Code der Seite angegeben ist, zum anderen kann man in der /etc/squid.conf die maximale Größe von zu cachenden Objekten festlegen, alles was größer ist, wird direkt aus'm Netz geholt.

So.... hoffe erstmal geholfen zu haben.

inquire-city
04.08.02, 20:44
ja, dankeschön, aber wo ich schonmal eine so nette und ausfühliche erklärung bekommen habe, da frage ich doch glatt mal weiter ;-)

ich habe bis heute noch nicht verstanden, warum ein proxy nun so sicher sein soll! die ports sind doch noch die gleichen, oder?
und wenn da jemand "rumhacken" kann, dann auch zeitversetzt durch einen puffer, oder?

muß ich noch extra in der Susefirewall2.config file was ändern?
ich habe da den eintrag für die verwenung für den proxy "squid"gesehen, das sie irgendwie die ports freischaltet! aber vorher hat es doch auch funktioniert!?

danke nochmal!

feuerwand
04.08.02, 21:00
ich habe bis heute noch nicht verstanden, warum ein proxy nun so sicher sein soll! die ports sind doch noch die gleichen, oder?
und wenn da jemand "rumhacken" kann, dann auch zeitversetzt durch einen puffer, oder?

nein, die clienten im lan sind gar nicht direkt im internet:

kiddie <-> internet <-> proxy <-> client

wenn du z.b. google.de oeffnen willst, dann schickt dein rechner diese anfrage an den proxy. dieser laedt die seite dann runter (cachet) und du oeffnest sie dann im lan. somit hast du keine direkte verbindung ins internet.

maconey
05.08.02, 04:35
die zeilen in squid.conf einfügen und schon wird einiges mehr gepuffert und dynamische seiten wie heise.de sind auch immer auf dem aktuellen stand :-)


refresh_pattern -i \.(gif|jpeg|jpg|png|bmp|mov|avi|divx|mpg|mpeg|mp3| ogg|wav)$ 10000 97% 95000 reload-into-ims ignore-reload override-lastmod override-expire
refresh_pattern -i \.(html|htm|txt|pdf|psd)$ 43200 95% 432000 reload-into-ims ignore-reload override-lastmod override-expire
refresh_pattern -i \.(zip|exe|gzip|rar|bz2|jar|gz|ace|cab)$ 10000 100% 95000 reload-into-ims ignore-reload override-lastmod override-expire
refresh_pattern -i \.(js|css)$ 10000 100% 95000 reload-into-imsignore-reload override-lastmod override-expire
refresh_pattern . 0 20% 40320

explosiver
05.08.02, 05:09
hallo.

ich habe auch eine frage.

wie verschlüssele ich durch ssh meine Daten ?
nud soll ich die MD5 verschlüsselung anklicken ?

bzw, meine firewall ist schon so halb i.o
aber ich finde nirgendwo eine komplette anleitung
aber auf deutsch, wie man sie richtig konfiguriert
oder weiss jemand wo genau im handbuch ?
ich habe Suse 8.0
was ich hab ist das http://www.little-idiot.de/firewall/zusammen.html
ist eine gute beschreibung wie sich hacker an die fireall anpeilen, aber das hilft mir auch nicht weitrs.

und bei einem wichtigen programm heisst es im buch :
die Ausgabe wird an STDOUT gesendet, wie kann ich das von der konsole
aus einsehen ?

ich hoffe bitte bitte auf eine antwort.danke vielmals

grusss an alle

Danny

maconey
05.08.02, 05:25
zu STDOUT kann ich nur sagen das das im normalfall die konsole, also das was du eh auf dem bildschirm ist oder sonst eine protokolldatei ist, meist /var/log/syslog oder /var/log/messages ist.



mit ssh kannst du keine daten verschlüsseln, ssh wird nur zur sicheren datenübertragung verwendet, also die daten sind während der übertragung verschlüsselt.

um nen einzelnen port zu blockieren musst nur das eingeben:


iptables -A OUTPUT --dport 1234 -p tcp -j DROP

explosiver
05.08.02, 09:13
DANKE !!!!!!!!!!!


danke vielmals

danny

andreas meier
04.09.02, 20:13
Original geschrieben von explosiver
DANKE !!!!!!!!!!!


danke vielmals

danny

andreas meier
04.09.02, 20:20
huch ich bin neu hier wie Ihr seht ....

noch ein kleiner Tip wie du dich sehr gut vor "portscans" schuetzen kannst.
www.psionic.com.

Das program heisst portsentry (kostenlos natuerlich ) und arbeitet sehr sicher und stabil.

Die Idee ist das jeder Angreifer z.B. automatisch in der Datei Hosts.deny landet,
sobald er *einen* port von der maschine scant.Diese program ist uebrigens auch im linuxjournal gewesen.



viel Spass
Andreas

inquire-city
05.09.02, 17:39
Original geschrieben von maconey
die zeilen in squid.conf einfügen und schon wird einiges mehr gepuffert und dynamische seiten wie heise.de sind auch immer auf dem aktuellen stand :-)


refresh_pattern -i \.(gif|jpeg|jpg|png|bmp|mov|avi|divx|mpg|mpeg|mp3| ogg|wav)$ 10000 97% 95000 reload-into-ims ignore-reload override-lastmod override-expire
refresh_pattern -i \.(html|htm|txt|pdf|psd)$ 43200 95% 432000 ......
refresh_pattern . 0 20% 40320



habe ich so eingefügt, bekomme ich aber nur eine schreckliche Fehlermeldung! In der squid.conf habe ich dazu (refresh_pattern) auch keinen Eintrag gefunden!
Aber wie kann ich denn Bilder speichern? (jetzt puffert er sie nicht, weil er immer neu zieht!)

Harry
05.09.02, 18:53
Original geschrieben von andreas meier
huch ich bin neu hier wie Ihr seht ....


Hallo auch :)



noch ein kleiner Tip wie du dich sehr gut vor "portscans" schuetzen kannst.
www.psionic.com.

Das program heisst portsentry (kostenlos natuerlich ) und arbeitet sehr sicher und stabil.


Damit schützt Du Dich nicht vor Portscans; Du loggst diese lediglich.



Die Idee ist das jeder Angreifer z.B. automatisch in der Datei Hosts.deny landet,
sobald er *einen* port von der maschine scant.Diese program ist uebrigens auch im linuxjournal gewesen.


Ja supertolle Sache das. Wenn jemand mitbekommt, dass Du einen solchen Mechanismus auf Deinem Host einsetzt, dann geht die DoS-Attacke schon los und Du wunderst Dich darüber, warum Deine /etc/hosts.deny rasend schnell wächst und niemand mehr auf Deine Dienste zugreifen kann :D (Stichwort: IP-Spoofing).

Harry