• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Konfiguration transparenter Proxy

gehrke

Administrator
Teammitglied
Moin *

Ich habe einen Webserver bei einem Hoster A. Nun möchte ich aus Gründen einen transparenten Proxy bei einem Hoster B davor stellen. Fortan soll der Zugriff auf die Dienste (Port 80 + 443) für die User ausschließlich über den Proxy laufen und der Webserver A nur noch Traffic vom Proxy B annehmen.

Hier soll es bitte erstmal nur um das grundsätzliche Netzwerk-Konstrukt zwischen A und B gehen, nicht um Dinge wie Firewall, um die Zugriffe von der Seite einzugrenzen oder DNS, um den Traffic umzuleiten.

Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!

Das ganze sollte nur eine Zwischenlösung und so schlank wie möglich sein. Was ich beispielsweise nicht möchte, ist, einen Webserver auf dem Proxy zu konfigurieren. Nicht nur wegen des Aufwandes, auch weil ich die TLS-Zertifikate nicht auslagern möchte.

Was wäre hierfür grundsätzlich zu tun? Ist doch bestimmt ein Standardfall - vielleicht reicht mir auch schon ein Stichwort und ein entsprechender Link.

TNX

Glückauf,
gehrke
 

spoensche

Moderator
Teammitglied
Das kannst du mit Nginx resourcenschonend und sehr einfach umsetzen.

Wenn der Proxy den Traffic noch auf Viren scannen und die User an einem AD authentifizieren soll, dann ist Squid die bessere Wahl.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Ich hatte mehr an so etwas wie einen SSH-Tunnel gedacht. Port 443 auf dem Proxy geht an Port 443 auf dem Webserver. Nach aussen transparent.
 
gehrke schrieb:
Moin *
..
Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!
..
NAT
 

spoensche

Moderator
Teammitglied
Gräfin Klara schrieb:
gehrke schrieb:
Moin *
..
Konkret: Was wäre auf dem Proxy einzurichten, so dass sämtlicher auf dem Proxy eingehender Traffic für diese Ports weitergeleitet wird zum Webserver und die Antwort auch den Weg auf der selben Route zurückgeliefert wird - also der Response vom Proxy kommt und die IP des Webservers A verborgen bleibt. Nach außen sichtbar darf nur die IP des Proxys B sein!
..
NAT

Nein kein NAT. Dem Proxy ein eigenes TLS- Zertifikat vergeben.

Wenn du das mit SSH machen willst, dann kannst du auch direkt ein VPN verwenden.
 
OP
gehrke

gehrke

Administrator
Teammitglied
spoensche schrieb:
Dem Proxy ein eigenes TLS- Zertifikat vergeben.
Genau diesen Doppelaufwand für zwei sauber konfigurierte Webserver, deren kontinuierliche Wartung und Zertifikatsmanagement will ich vermeiden.
 
spoensche schrieb:
Nein kein NAT. Dem Proxy ein eigenes TLS- Zertifikat vergeben.
..
Webservers A sollte mit Zertifikat ausgestattet sein.
B macht das NAT über seine IP nach A. B hat kein Zertifikat. A ist nur über B erreichbar.
So habe ich das verstanden ... oder auch nicht...
 
OP
gehrke

gehrke

Administrator
Teammitglied
Gräfin Klara schrieb:
Webservers A sollte mit Zertifikat ausgestattet sein.
B macht das NAT über seine IP nach A. B hat kein Zertifikat. A ist nur über B erreichbar.
Genau das will ich - ob mit NAT oder anders.

@Gräfin Klara: Du hast mir nur das Stichwort über den Zaun geworfen, so wie ich es auch angedeutet hatte. Vielen Dank dafür.

Jetzt muss ich mir aber noch erarbeiten, wie man das mit GNU/Linux umsetzt. Kann dauern, bin nicht der größte Netzwerker vor dem Herrn...
 
Wenn ich deine Frage richtig verstehe, suchst Du eben gerade keinen transparenten Proxy sondern einen elite Proxy. Diese Funktion ist aber nicht RFC-konform und des weiteren ist ein Proxy eigentlich für den umgekehrten Weg gedacht, sprich für Anfragen von drinnen nach draußen. Von daher scheint mir der Vorschlag von Gräfin Klara, dies mittels NAT durchzuführen, am sinnvollsten wenn es nur eine kleine Lösung sein soll.
Ansonsten ist das Stichwort was Du suchst "reverse proxy".
 
Oben