• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

squid server hinter firewall mit nur einem offenen port

V

vistree

Newbie
Hallo,
neu hier, habe ich gleich ein riesen Anliegen.
Also, ich muss für eine Arbeitsgruppe einen Proxyserver einrichten. Da bin ich auf squid gestoßen ;-)
Nun ist aber das gesamte Netz so verwirrend, dass ich nicht genau weiß, wie ich squid und iptables korrekt konfigurieren muss.

Die Struktur:
Der Proxyserver hat 2 Netzwerkkarten:
eth0 -> extern static 192.168.2.2
eth1 -> intern static 192.168.3.2

eth0 ist an das Firmennetz angeschlossen. Dort läuft eine Firewall/Gateway auf 192.168.1.1
Nun ist die Firewall so eingestellt, dass nur ein Port -> 8080 von außen auf den neuen Proxyserver leitet
squid ist so konfiguriert, dass er auf dem Standardport 3128 "hört".

Ich bekomme nun von den Clients im squid-Netz keine Verbindung nach außen. Der Fehler laut access.log lautet immer ähnlich:
1247726801.523 2 192.168.3.13 TCP_DENIED/403 1464 GET http://www.beispielseite.de/din.aspx?s=00000000&id=214823133&client=DynGate&rnd=4029051&p=10000001 - NONE/- text/html

Was genau muss ich tun, damit der squid über den einen offenen Port mit der Außenwelte kommunizieren kann?
In Iptables den Port 8080 auf 3128 leiter?

Hoffe, hier kann mir jemand weiterhelfen.

Gruß
 
T

tomma

Member
Hallo,

Du kommst von außen in ein Firmennetzwerk und willst den dortigen Proxy für wieder äußere Webseiten benutzen?
Ist das wirklich sinnvoll?

By(e) Tomma
 
OP
V

vistree

Newbie
Hallo Tomma,
nein, hier habe ich mich wahrscheinlich nicht richtig ausgedrückt ...

Also, das komplette Firmennetz ist hinter einer Firewall. Im Firmennetz gibt es einen Webserver, der bei Anfragen von Außen über Port 80 seinen Inhalt kundtut ;-)

Nun gibt es in der Firma eine kleine selbstständige Arbeitsgruppe, die nicht überall im Netz surfen sollen und es gibt Programme, die teilweise recht große Updates benötigen.
Hier ist nun die Idee, dass die Arbeitsgruppe einen eigenen Proxyserver bekommt, um a) die Bandbreite zu schonen (große Updates) und b) den Zugriff auf bestimmte Seiten im Netz zu begrenzen (Virenschutz-Hersteller, bestimmte Auskunftsportale, ...).
Zu diesem Zweck möchte ich gerne den besagten Squid-Proxy dazwischenschalten.
Dieser soll die internen Anfragen über eth1 annehmen und über eth0 nach außen weiterreichen.
Mein Problem ist nun, dass ich durch die Firewall halt nur bestimmte Ports auf den Proxyserver durchreichen kann - aber vor allem Port 80 nicht.
So, aber wie sage ich das nun meinem Squid??? Der Server kann ganz normal auf das Netz zugreifen und erhält auch DNS-Auflösung z.B. bei ping. Ich kriege aber die Clients hinter dem Squid einfach nicht ins Netz. Habe schon routing von eth1 auf eth0 versucht und auch iptables mit einem prerouting versorgt. Aber irgendwas mache ich hier definitiv falsch, denn die Verbindung nach außen bleibt den Clients verschlossen.

Viele Grüße

Kai
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben