squid-Webproxy & frox-FTPproxy

**feliXyz** · 14.03.05, 14:41

hallo,

mir sind einige sachen im zusammenhang mit squid als proxy für http-anfragen und frox als ftp-proxy, nicht ganz klar.

ich habe einen squid auf dem port 8080 laufen der neben einer normalen authentifizierung gegen eine nt4domaine noch zusätzlich in verbindung mit frox als ftp-prox arbeiten soll.
frox habe ich nach folgenden einstellungen konfiguriert:

/etc/frox.conf
Listen
Port 3121
BindToDevice
User nobody
Group nobody
WorkingDir /var/lib/frox
DontChroot Yes
LogLevel 20
LogFile /var/log/frox.log
TransparentData yes
MaxForks 15
MaxForksPerHost 8
ACL Allow * - *

mir sind zunächst ein paar allgemeine konzeptionelle askpete nicht ganz klar.
auf dem system, auf dem der proxy läuft wird also zunächst der http-proxy dienst auf port 8080 angeboten. auf port 3121 ist der dienst des ftp-proxies am laufen.
prinzipiell könnte ich doch auf den clients die IP des proxies eintragen und im anhängigkeit vom protokoll einen anderen port wählen?

nun habe ich aber gelesen, dass über eine umleitung mit iptables, die anfragen in irgendeiner weise umgeleitet werden müssen.

hier beginne ich auch langsam den sachverhalt nicht mehr zu verstehen. kann mir da jemand aus derpatsch helfen oder einen link nennen auf dem der sachverhalt dargestellt wird?

gruß

felix

**f_m** · 14.03.05, 14:55

1) sofern du in deinen Clientprogrammen den Proxy als solchen einstellst sind keine iptables nötig;
einfach Port 8080 für den Squid und fertig, wobei der Squid aber auch selbst bereits in der Lage ist als ftp Proxy zu arbeiten; frox oder anderes wird nur benötigt wenn du NICHT möchtest das Squid diese Aufgabe übernimmt, asnonsten genügt Squid alleine.

2) wenn du mit iptables Portweiterleitungen auf den Proxy machst sieht das so aus:
Port 80 (http) -> 8080 (squid)
Port 21 (ftp) -> 8080 (squid) oder 3121 (frox)
man erkennt glaub ich eh schon was los ist, du stellst in deinen Clientprogrammen KEINEN Proxy mehr ein und iptables leiten es automatisch an den Proxy um - man spricht von einem "transparenten Proxy" (für die Clients also unsichtbar

)
EDIT: nur zur Vervollständigung: bei Variante 2) wird auch noch ein laufender http-Accelerator benötigt (das wird i.A. apache sein)

Gruß, f_m

**feliXyz** · 15.03.05, 12:50

als reverse-Proxy (=accelerator?) kann man aber auch den squid verwenden.

ich würde gern einen seperaten ftp-proxy verwenden, weil die nutzung des ftp-protokolls nur wenigen benutzern ermöglicht werden soll. wie ich eine seperate liste des ftp-benutzer in der squid.conf pflege oder wie ich eine externe liste nur für die ftp-bentuzer einbinden soll, ist mir nicht bekannt.

bei dieser variante ist ein seperater ftp-proxy wohl eine anwendbare lösung. hat jemand für dieses problem einen lösungsvorschlag?

gruß und danke im voraus