keine verbindung mit steam oder xfire möglich

hallo leute.
habbe bei mir squid laufen funktioniert im http bereich alle wunderbar.
nur kann ich einige dienste wie xfire (kleiner messenger) oder steam nicht nutzen..
habe im proxy alle ports freigegeben, nur leider funktioniert dies immer noch nicht :/
habe in den programmen aber auch nicht die möglichkeit eine verbindung über proxy einzutragen.
einen transparenten proxy möchte ich im vornerein nicht aufsetzen.
ist das was ich möchte überhaupt mit squid möglich?
oder muss ich einen router nehmen?
ich dachte squid ist ein router und ein cacher.
mfg timo

Squid ist ein http Proxy und definitiv kein Router.

Wenn der Internetzugang so konfiguriert ist daß alles gesperrt ist und Browsen nur über Squid möglich ist dann haben Programme die nicht mit einem Proxy arbeiten können keinen Internetzugriff.

Eine Konfiguration als Transparent Proxy ändert daran nichts. Der Unterschied ist daß eben jeder http-Traffic von der Firewall über den Squid geleitet wird und die Anwender nicht mitkriegen daß da ein Squid dazwischen ist (bzw am Client-PC außer Default Gateway nichts besonderes konfigurieren müssen). Dadurch versteht der Squid nicht plötzlich Protokolle die er vorher nicht kannte.

Du müßtest also die Firewall so konfigurieren daß sie Routing und vermutlich auch Masquerading macht und natürlich die entsprechenden Ports von innen nach außen freischalten.

hi danke für die schnelle antwort.
ich habe von vornerein die ports im squid alle geöffnet.
die firewall habe ich net mal angefasst, vermutlich ist sie deaktiviert.
muss ich aber mal nachschauen wenn ich wieder zuhause bin.
also grundsätzlich gesagt kann ich programme bei denen ich keine verbindung über proy auswählen kann schon von wornerein nicht möglich ja?
bin selber noch ziemlich noobie was den umgang mit pcs angeht.
habe erst seid 3 jahren überhaupt nen pc und habe mich vorher noch nie damit beschäftigen können.

-ntfs- schrieb:

also grundsätzlich gesagt kann ich programme bei denen ich keine verbindung über proy auswählen kann schon von wornerein nicht möglich ja?

Zum Vergrößern anklicken....

Also mit dem Satz stimmt irgendwas nicht...

ups.. peinlich
ich meinte: programme bei denen ich nicht "verbindung über proxy..." auswählen kann, ist von vornerein keine verbindung möglich.
kann man das so sehen ja?
muss ich für alle anderen programme eine routing option festlegen?
mit iptables... bla blub

wo bestehen überhaupt die unterschiede nat und masquerade??? bzw was ist masquerade?
nat ist network address translation, sprich vermittlung intern extern und anderum...
nur masquerade? hmm

Ich versuche mal den Unterschied verschiedener Methoden 'Daten vom einen Kabel aufs nächste zu kriegen' mit den zugrundeliegenden Prinzipien zu erklären.

1. Hub / Repeater

Ein Repeater sendet ein empfangenes Paket auf allen andern Ports. Ihm ist egal wo sich der Empfänger befindet.

Ihm ist egal wie die Pakete aufgebaut sind.

2. Bridge

Eine Bridge baut eine Liste von Netzwerkkartenadressen auf und merkt sich wer auf welcher Seite ist. Ein Paket wird weitergeleitet wenn der Empfänger unbekannt oder auf der anderen Seite ist.

Die Bridge interessiert sich für die Netzwerkkartenadresse des Paketempfängers.

3. Switch

Ein Switch ist in etwa eine Multiport-Bridge.

4. Router

Ein Router interpretiert Netzwerkprotokolle und entscheidet anhand der Protokollinformationen was er mit Paketen anfängt. Ein IPX/SPX Router weiß nichts mit TCP/IP Paketen anzufangen (und umgekehrt).

Ein IP-Router untersucht also die im Paket angegebene IP-Adresse des Empfängers und leitet das Paket entsprechend weiter.

Der Router interessiert sich für die Adressinformationen des jeweiligen Protokolls.

5. Proxy

Ein Proxy arbeitet auf Anwendungsebene. Auch er kümmert sich nur um die Protokolle die er kennt - aber auf einer höheren Ebene. So gibt es zum Beispiel Proxies für http, ftp, dns, smtp, pop3 und andere Protokolle.

Die Arbeitsweise eines http-Proxies wie Squid sieht so aus:

- der Client sendet eine Anfrage an den Proxy
- der Proxy untersucht die Anfrage ob er sie zulassen soll
- falls die Anfrage zugelassen wird leitet der Proxy die Anfrage nicht einfach weiter. Stattdessen merkt er sich erste einmal den Absender.
- möglicherweise verfügt er über einen Cache und beantwortet die Anfrage aus dem Cache (nachdem er ggf überprüft hat ob der noch aktuelle Daten beinhaltet)
- Wenn er die Anfrage nicht aus dem Cache beantworten kann stellt er eine Anfrage an den Ziel-Webserver mit SICH SELBST als Absender.
- Wenn die Antwort des Webservers eintrifft filtert er diese ggf, speichert sie im Cache, schaut nach wer die ursprüngliche Anfrage gestellt hat und sendet dem dann die Antwort.

Das bedeutet zum Beispiel daß bei Verwendung eines http-Proxies der Client gar keine DNS-Auflösung für Internet-Adressen benötigt da die tatsächliche Anfrage ja vom Squid gestellt wird. Dieser muß dazu natürlich über eine funktionierende DNS-Auflösung verfügen.

Der Proxyserver interpretiert Protokolldaten.

Fazit: Ein Messenger kann einen http-Proxy nur benutzen wenn er das http-Protokoll für seine Kommunikation benutzen kann. Desweiteren darf der http-Proxy ihn nicht filtern.

Re: NAT / Masquerading

Masquerading ist ein Spezialfall von NAT. NAT bedeutet einfach Network Adress Translation - es werden IP-Adressen und Ports 'verbogen'.

Bei Masquerading wirdein Netz hinter einer Firewall 'maskiert' - von außen sieht man nur die Maske, also die 'externe' IP-Adresse der Firewall.

Realisiert wird das indem die Firewall sich die Absender ausgehender Pakete merkt, den Absender durch die eigene externe Adresse ersetzt (maskiert) und dann das modifizierte Paket zum Empfänger sendet. Wenn die Antwort kommt (mit der externen IP-Adresse der Firewall als Empfänger) sucht sie raus wer denn der ursprünglich Absender des Paketes war auf das das die Antwort ist, ersetzt die Empfängeradresse und leitet es weiter,

ne is klar mache selbst nen cisco lehrgang 2. semester das osi modell habe ich bereits kennengelernt.
da ich vorher noch nie was mit einem proxy gemacht habe wusste ich in dem bezug nicht genau bescheid, habe mal gelesen dass das ganz salop gesagt ein router mit cache ist...
aber ich glaube da hat sich der gute herr wohl vertan
ok dann ist ja alles klar.
nur routing bringt mich also ans ziel.
aber da weiß ich bereits wie das unter linux geht.
vielen dank

mfg timo

Martin Breidenbach schrieb:

Re: NAT / Masquerading

Masquerading ist ein Spezialfall von NAT. NAT bedeutet einfach Network Adress Translation - es werden IP-Adressen und Ports 'verbogen'.

Bei Masquerading wirdein Netz hinter einer Firewall 'maskiert' - von außen sieht man nur die Maske, also die 'externe' IP-Adresse der Firewall.

Realisiert wird das indem die Firewall sich die Absender ausgehender Pakete merkt, den Absender durch die eigene externe Adresse ersetzt (maskiert) und dann das modifizierte Paket zum Empfänger sendet. Wenn die Antwort kommt (mit der externen IP-Adresse der Firewall als Empfänger) sucht sie raus wer denn der ursprünglich Absender des Paketes war auf das das die Antwort ist, ersetzt die Empfängeradresse und leitet es weiter,

Zum Vergrößern anklicken....

ok nur warum "verbiegt" nat die ports?
musss sich nat nicht auch die absender aller packete merken um alles korrekt zuordnen zu können?
bei einem router mit nat sieht man doch von außen gesehen eh nur die ip adresse, was ist dann anders bei masqueradin?

danke für die vielen antworten

habs grad mal gegoogled:

ne relativ gute und simple erklärung

Um aus einem lokalen Netzwerk mit mehreren Rechnern über einen zentralen Router oder ein Gateway auf das Internet zuzugreifen, ist es nötig, die unterschiedlichen internen IP-Adressen in eine öffentliche IP-Adresse umzuwandeln.
Der Router muss hierzu alle IP-Adressen des internen Netzes kennen und über den Provider eine öffentliche IP-Adresse beziehen. Mit Hilfe einer Tabelle werden die internen IP-Adressen auf die öffentliche gemappt/maskiert (Maskieren = Masquerading). Da die Anforderung von Seiten sowie der Datentransport über den Router läuft, kann dieser für eingehende Daten den Zielrechner bestimmen und die IP auf die lokale IP-Adresse des Rechners über die Tabelle zurückwandeln.
Eine besondere Form des Masqueradings ist NAT (= Network Address Translation). Hier werden die IP-Adresse nicht n:1 (von mehreren internen auf eine externe IP-Adresse) abgebildet sondern n:m.
Das Ziel der NAT besteht zum einen darin, die interne Host-Adresse zu verbergen, indem die IP auf eine öffentliche gemappt wird. Des Weiteren ist eine Kontrolle der eingehenden Daten von Extern nach Intern möglich. Hierzu werden zwar nach außen alle Datenpakete durchgelassen (Forward-NAT), nach intern allerdings nur mit expliziter Freigabe.
Dadurch, dass die Verbindung nur über den Router läuft, können Ziel- und Quellangaben der Adressen und Ports überwacht werden.

Genauso isses

Hab mich nicht getraut hier jetzt noch mit OSI Schichtenmodell anzufangen - obwohl genau das hab ich ja eigentlich da oben erklärt