Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Konfiguration transparenter Proxy

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1983
Registriert: 10. Nov 2012, 11:00

Konfiguration transparenter Proxy

Beitrag von gehrke » 27. Okt 2019, 07:52

Moin *

Ich habe einen Webserver bei einem Hoster A. Nun möchte ich aus Gründen einen transparenten Proxy bei einem Hoster B davor stellen. Fortan soll der Zugriff auf die Dienste (Port 80 + 443) für die User ausschließlich über den Proxy laufen und der Webserver A nur noch Traffic vom Proxy B annehmen.

Hier soll es bitte erstmal nur um das grundsätzliche Netzwerk-Konstrukt zwischen A und B gehen, nicht um Dinge wie Firewall, um die Zugriffe von der Seite einzugrenzen oder DNS, um den Traffic umzuleiten.

Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!

Das ganze sollte nur eine Zwischenlösung und so schlank wie möglich sein. Was ich beispielsweise nicht möchte, ist, einen Webserver auf dem Proxy zu konfigurieren. Nicht nur wegen des Aufwandes, auch weil ich die TLS-Zertifikate nicht auslagern möchte.

Was wäre hierfür grundsätzlich zu tun? Ist doch bestimmt ein Standardfall - vielleicht reicht mir auch schon ein Stichwort und ein entsprechender Link.

TNX

Glückauf,
gehrke
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7492
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Konfiguration transparenter Proxy

Beitrag von spoensche » 27. Okt 2019, 18:17

Das kannst du mit Nginx resourcenschonend und sehr einfach umsetzen.

Wenn der Proxy den Traffic noch auf Viren scannen und die User an einem AD authentifizieren soll, dann ist Squid die bessere Wahl.

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1983
Registriert: 10. Nov 2012, 11:00

Re: Konfiguration transparenter Proxy

Beitrag von gehrke » 27. Okt 2019, 18:47

Und das geht ohne TLS-Zertifikate auszulagern?
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1983
Registriert: 10. Nov 2012, 11:00

Re: Konfiguration transparenter Proxy

Beitrag von gehrke » 27. Okt 2019, 19:28

Ich hatte mehr an so etwas wie einen SSH-Tunnel gedacht. Port 443 auf dem Proxy geht an Port 443 auf dem Webserver. Nach aussen transparent.
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Gräfin Klara
Hacker
Hacker
Beiträge: 446
Registriert: 23. Jun 2008, 20:51

Re: Konfiguration transparenter Proxy

Beitrag von Gräfin Klara » 27. Okt 2019, 21:13

gehrke hat geschrieben:
27. Okt 2019, 07:52
Moin *
..
Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!
..
NAT

spoensche
Moderator
Moderator
Beiträge: 7492
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Konfiguration transparenter Proxy

Beitrag von spoensche » 29. Okt 2019, 19:32

Gräfin Klara hat geschrieben:
27. Okt 2019, 21:13
gehrke hat geschrieben:
27. Okt 2019, 07:52
Moin *
..
Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!
..
NAT
Nein kein NAT. Dem Proxy ein eigenes TLS- Zertifikat vergeben.

Wenn du das mit SSH machen willst, dann kannst du auch direkt ein VPN verwenden.

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1983
Registriert: 10. Nov 2012, 11:00

Re: Konfiguration transparenter Proxy

Beitrag von gehrke » 29. Okt 2019, 20:33

spoensche hat geschrieben:
29. Okt 2019, 19:32
Dem Proxy ein eigenes TLS- Zertifikat vergeben.
Genau diesen Doppelaufwand für zwei sauber konfigurierte Webserver, deren kontinuierliche Wartung und Zertifikatsmanagement will ich vermeiden.
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Gräfin Klara
Hacker
Hacker
Beiträge: 446
Registriert: 23. Jun 2008, 20:51

Re: Konfiguration transparenter Proxy

Beitrag von Gräfin Klara » 30. Okt 2019, 00:12

spoensche hat geschrieben:
29. Okt 2019, 19:32
Nein kein NAT. Dem Proxy ein eigenes TLS- Zertifikat vergeben.
..
Webservers A sollte mit Zertifikat ausgestattet sein.
B macht das NAT über seine IP nach A. B hat kein Zertifikat. A ist nur über B erreichbar.
So habe ich das verstanden ... oder auch nicht...

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1983
Registriert: 10. Nov 2012, 11:00

Re: Konfiguration transparenter Proxy

Beitrag von gehrke » 30. Okt 2019, 07:39

Gräfin Klara hat geschrieben:
30. Okt 2019, 00:12
Webservers A sollte mit Zertifikat ausgestattet sein.
B macht das NAT über seine IP nach A. B hat kein Zertifikat. A ist nur über B erreichbar.
Genau das will ich - ob mit NAT oder anders.

@Gräfin Klara: Du hast mir nur das Stichwort über den Zaun geworfen, so wie ich es auch angedeutet hatte. Vielen Dank dafür.

Jetzt muss ich mir aber noch erarbeiten, wie man das mit GNU/Linux umsetzt. Kann dauern, bin nicht der größte Netzwerker vor dem Herrn...
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4367
Registriert: 14. Jun 2004, 09:12

Re: Konfiguration transparenter Proxy

Beitrag von Geier0815 » 30. Okt 2019, 11:45

Wenn ich deine Frage richtig verstehe, suchst Du eben gerade keinen transparenten Proxy sondern einen elite Proxy. Diese Funktion ist aber nicht RFC-konform und des weiteren ist ein Proxy eigentlich für den umgekehrten Weg gedacht, sprich für Anfragen von drinnen nach draußen. Von daher scheint mir der Vorschlag von Gräfin Klara, dies mittels NAT durchzuführen, am sinnvollsten wenn es nur eine kleine Lösung sein soll.
Ansonsten ist das Stichwort was Du suchst "reverse proxy".
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

Antworten