• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

iPhones IMAP Zugriff über Squid

hambam

Newbie
Hallo,

wir haben eine Reihe von iPhones, die über ein eigenes WiFi über einen transparenten Proxy ins Internet sollen.
Da die iPhones per DHCP eine eigene IP-Range erhalten und eine proxy.pac eingetragen haben, habe ich im Proxy entsprechende Regeln gesetzt:
Code:
acl smartphones src 10.200.1.1-10.200.1.100
http_access allow smartphones
die proxy.pac ist einfach aufgebaut:
Code:
function FindProxyForURL(url, host)
{
var proxy = "PROXY proxy.local.de:8080";
if (shExpMatch(url, "http://localhost/*")) { return "DIRECT"; }
if (shExpMatch(url, "http://127.0.0.1/*")) { return "DIRECT"; }
return proxy;
}

Das Surfen im Web funktioniert und auch der Zugriff auf den App Store. Ich möchte aber jetzt auch noch IMAP (Port 993) und NTP (123) zulassen.
Hierfür habe ich noch in der squid3.conf noch folgende Einträge ergänzt:
Code:
acl Safe_ports port 123 # NTP
acl Safe_ports port 993 # IMAP

Dennoch werden Verbindungen abgelehnt. In der Firewall tauchen dann auch die abgelehnten Verbindungsversuche auf.
Kann ich das prüfen, ob der Proxy die Verbindung ablehnt und dann die Firewall, oder ob der Proxy gar nicht erst angesprochen wird?
 
OP
H

hambam

Newbie
Ich hab jetzt mal im /var/log/squid3 ein
Code:
tail -f access.log | grep 10.200.1.7
aufgerufen (die IP hat im Moment mein iPhone).

Normale HTTP-Aufrufe werden dort angezeigt, Verbindungsversuche über Port 993 aber nicht.
Werden die Verbindungsversuche nicht protokolliert oder kommt erst gar nichts beim Proxy an?
 
OP
H

hambam

Newbie
Ich habe in einigen Anleitungen für transparente Proxies jedoch die Einstellung in der squid.conf gesehen, dass dort 993 als Safe Port hinzugefügt wurde.
http://www.linuxquestions.org/linux...g_transparent_web_proxy_using_squid_27stable9

Aber sorry, wenn ich da so unwissend klinge, aber das Packetforwarding wird dann im Linux gemacht, oder? (iptables)

Wie schalte ich denn das Packetforwarding ein? iptables -L sieht derzeit so aus (also quasi ausgeschaltet):
Code:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 

Stefan Staeglich

Advanced Hacker
Ja das ist korrekt. Wie das genau geht steht im Wiki.
Falls du SUSE verwenden solltest, gehtes da auch über die SuseConfig. Aber das müßtest du dir dann einfach mal selber ansehen, denn ich hab keine SUSE mehr,
 
OP
H

hambam

Newbie
Der Proxy läuft auf Ubuntu..
Ich hab mir schon einige HowTo's angeschaut bezüglich iptables, möchte nur vermeiden, dass ich mir da was einreisse, was ja nicht sein muss.
Was passiert denn mit dem üblichen HTTP Traffic wenn ich schonmal das das IP Forwarding grundsätzlich einschalte?
Die meisten gefundenen Beiträge möchten den eigenen IMAP Server von aussen erreichbar machen, bei mir ist es ja so, dass beliebige externe IMAP Server von intern erreichbar sein sollen, aber nur, wenn sie von IP 10.200.x.x/16 kommen.
Wie kann ich denn mal feststellen, ob der 993 Traffic überhaupt zum Proxy kommt? Der Syslog zeigt bisher nichts, aber das muss ich noch in iptables definieren, dass abgelehnte Verbindungen geloggt werden?
 

Stefan Staeglich

Advanced Hacker
Entschuldige ich hab dich ganz vergessen. Also IP-Forwarding stellst du ja mit
Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
an. Verbindungen ins Internet gehen dann noch nicht, da du dafür ja noch NAT brauchst, welches du ja mit iptables einscalten mußt. Ebenso das Logging.
Bist du denn schon weiter gekommen? Am besten machst du im Firewall_Forum nen neuen Thread auf und verlinkst hier darauf.
 
Oben