PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : squid verarscht? oder wie man sich im logfile anonymisiert.



parity-B
09.10.02, 10:03
hallo leute,

ich habe glaub ich ein interessantes phänomen
festgestellt.
kann sein, das es gar nich so toll ist aber ich will mal
hören ob sich das hier einer erklären kann::

also vorm inet steht (A) ein Squid2.4-proxy-rechner
der im httpd access file alle internet anforderungen mitloggt.
so.
davor wieder steht ein weiterer Squid-proxy-rechner (B)der über (A) auf inet zugreift.

der Browser benuzt (B) als proxy.
fordert man nun ein paar seiten an, taucht nix aber auch wirklich GAR NIX im access logfile von (A) auf ?!?

es müssten doch eigendlich wenigstens die aufrufe von (B) mit ip undso auftauchen?!? und noch verwunderlicher ist, das über (B) keinerlei authentifizierung vorkommt was normalerweise (A) verlangt?!?

diese besreibung ist ein bischen waage, werd versuchen alle noch benötigten infos nachzuposten


-cu Timo

sternfahrer
09.10.02, 10:14
So wie ich das verstehe, hat der Proxy (A) auch gar keine Anforderungen. Der macht nur die Tür für Proxy (B) auf. Geloggt wird dann aber auf (B). Ich stelle mir das als eine Art Tunnel vor, den (A) für (B) öffnet. (A) öffnet dann keine Pakets, Frames oder Segmente sondern schaufelt unbearbeitet einfach weiter. Räusper!!! Ich denke auf OSI-Layer 1 (also dumm) oder 2?!:rolleyes:

parity-B
09.10.02, 11:01
ja soetwas in der art dacht ich mir auch schon..
danke das du das nochmal so genau erklärt hast

geloggt wird ja in jedem fall nur nich auf (A) sondern auf (B)

-cu Timo

parity-B
09.10.02, 11:02
aber trotzdem komisch das der squid das so einfach mit sich machen lässt, und nich mal einen klitzekleinen eintrag in der access.log macht.

sternfahrer
09.10.02, 12:14
Ich geh' mal davon aus, dass du mehr als nur http über den Proxy zulässt. Es sollte eigentlich eine Möglichkeit geben, so etwas zu unterbinden. Bist du denn sicher, dass (B) über (A) geht? Mal ein Pathping oder Tracert gemacht? Da solltest du alle Zwischenstationen bis zur Internet-Ziel-IP nachverfolgen können.

parity-B
09.10.02, 16:31
tja der proxy (B) MUSS in jedem fall an Proxy (A)
(mit 2 NIC karten) vorbei!!

absolut sicher..und dann gehts nochmals an einer
2. firewall vorbei bis die die päckchen es dann ins web
leitet.

wir könn uns es nicht erklären wie es geht aber
anscheinend klappts ja. warum ist mir noch ein rätsel...

hier die offenen ports von proxy (A) durch nmap:

(The 1537 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
25/tcp filtered smtp
80/tcp open http
110/tcp filtered pop-3
3306/tcp open mysql

es läuft auf (A) auch noch ein iptables hab aber noch nich genau rein
geschaut was da passiert...

-cu Timo

mamue
10.10.02, 11:51
Warum sollte denn auch etwas von der Anfragen des Proxy B im log des Proxy A stehen?
Das würde nur dann geschehen, wenn in B's conf A als Nachbar eingetragen ist, oder wenn
A als transparenter Proxy konfiguriert ist, also indem mittels IP-Tables die Anfragen vom port 80 auf 3128 (?) umgeleitet werden.
A macht also überhaupt nichts auf oder zu, er wird nur nicht gefragt.

mamue

Jinto
10.10.02, 13:53
Ich Tippe wie mamue auch, dass ihr B und A "falsch" konfiguriert habt, so dass:
1. B Computer A nicht als Parent-Proxy sieht
2. B Computer A als Gateway eingetragen hat
3. A als Router konfiguriert ist.

HTH

parity-B
10.10.02, 14:04
jo,
das hört sich stimmig an @mamue + jinto
denke ihr hab recht.
an (B) wurde überhaupt nich viel konfiguriert.. ist einfach ein inner halben
aufgesetztes woody3 + squid alles auf standard
und (A) kennt (B) nicht !

ist aber eine feine sache, so kann hier jedenfalls keiner mehr spionieren
was, und wo für inet seiten aufgerufen werden.

danke für die lösung dieser ungereimtheit ! (:

-cu Timo

Rappi
10.10.02, 16:46
tag ! :)

also sowas ist echt ne super sichere sache!
Hab ich hier bei uns genauso eingerichtet...

Proxy B im internen Netz hat als cache_peer parent Proxy A eingetragen.
Dieser steht hier hinter einer Cisco die nur Proxy B durchlässt .
'Draußen' im bösen Inet steht dann Proxy A, der wie gesagt die anfragen von Proxy B nicht mitloggt... warum auch... redundanzen sind bei solchen Daten ja nu nicht erforderlich.

Proxy A loggt bei uns nur die Zugriffe, die er von anderen Seiten per VPN von anderen Ciscos bekommt... das sind unsere Außenstellen :)

aber wie gesagt... super sicheres system!

Greetz und so!

Edit: Zwei NICs sind übrigens bei keinem der Serverchen erforderlich!