squid und default gateway

[boxa]

Hallo!

Mein Netzwerk ist über einen Linuxrechner (Gateway mit zwei NICS) ans Internet angeschlossen. Bei den Clients ist dieser Rechner als Default-Gateway angegeben. Nun habe ich Squid installiert. Dieser funktioniert einwandfrei. Es gibt nur ein Problem:
Bei den Clients muss nicht unbedingt über den Squid gesurft werden. Es reicht ja wenn der Rechner als Defaultgateway drinsteht. Das ist natürlich nicht im Sinne des administrators. Daher meine Frage. Was muss ich tun, um die Clients nur über den Proxy surfen zu lassen? Die anderen Ports (z.B. für FTP) sollen aber weiterhin funktionieren.

[geronet]

Da bastelst du dir auf dem Proxyrechner mit iptabes/chains nen transparenten Proxy und sperrst noch die externen Proxy-ports wie 8080 und 3128 in der Forward-chain vor dem Masqerading (damit sie deinen nicht umgehen können, DAU's sind schlau )

und stellst beim squid folgendes ein:



httpd_accel_host 192.168.1.1 (die ip des internen eth's)

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on



und verwendest dieses Redirecting:



iptables -t nat -A PREROUTING --source $LOCALNET --protocol tcp --in-interface $LOCAL_IF --destination-port www --jump REDIRECT --to-ports 3128



Dann kannst du in der access.log beim squid prüfen ob mit einem Browser ohne eingestelltem Proxy dort Zeilen auftauchen wo du grad surfst.



siehe auch Transparent-Proxy-Mini-Howto


Grüsse, Stefan

[boxa]

vielen dank, das hat mir sehr geholfen. Da ich iptables benutze habe ich die Zeile mit dem Prerouting aus dem Howto verwendet. Jetzt funkjtioniert alles bestens

DANKE