Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

SQUID und IPTABLES

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

SQUID und IPTABLES

Beitrag von kap »

Liebe Leute,

ich bin kein Profi aber verstehe ein bischen davon.

Folgendes Problem besteht bei mir. Wahrscheinlich nur ein denkfehler aber möchte mir sicher gehen. Ich habe einen Host mit Netzwerkkarte zu DSL Router. Mit Squid habe ich am selben Host, die Hompages eingeschränkt. Mann kann beispielsweise nur auf die T-online und google Seite. Wenn der User am Host die Internetverbindung z. B. bei Firefox auf Direktem Zugang ändert, ziehen die SQUID Regel nicht mehr. Ich habe es auch nicht mit SQUID hinbekommen, die Benützung v. SQUID zu erzwingen. Daher dachte ich an IPTABLES. Nur weiß ich nicht ob das Geht. Mit dem Firewall möchte ich, daß der User am Host nicht über den Port 80 bzw. mit direkten Einstellungen per Firefox surfen kann sondern nur über den Port 3128. Wenn ich den Port 80 Droppe dann kann wohl auch SQUID keine Anfragen mehr stellen. Ich hoffe es kann mir jemand helfen oder auch nicht.

Vielen Dank!
MfG
S. Kaplan
Benutzeravatar
Fytzi
Hacker
Hacker
Beiträge: 305
Registriert: 1. Aug 2004, 17:14
Kontaktdaten:

Re: SQUID und IPTABLES

Beitrag von Fytzi »

kap hat geschrieben:Ich habe es auch nicht mit SQUID hinbekommen, die Benützung v. SQUID zu erzwingen.
Das funktioniert so: Du verwendest Squid als transparenten Proxy. Dann müssen alle Hosts den Proxy verwenden ob sie wollen oder nicht. Es muss dann auf den Clients nichts umgestellt werden und sie surfen sofort mit Proxy.
There are only 10 types of people in the world: those who understand binary and those who don't.
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

Es ist aber ein einzelner Host in einem Cafe. Kann / muß ich den Transparenten Proxy auf dem gleichen Host aufsetzen? Ich muß ja dann aber Cach Aktivieren und Forwarding im Firewall setzen oder?

Schade eigentlich, daß hier nicht so viele einen Antwort wissen.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Du hast doch die Antwort gekriegt: Squid als transparenten Proxy aufsetzen. Das sind 3 Zeilen oder so in de Squid-Konfiguration und 2-4 in der Firewall. Lies Dir das squid transparent proxy howto durch.

http://www.tldp.org/HOWTO/TransparentProxy.html
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

Die Antworten sind bei euch wohl nur auf minimal Prinzip eingestellt oder?
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Ja.

Das HOWTO mußt Du schon selber lesen.

Wenn Du danach konkrete Fragen hast kannst Du die gerne stellen.

Aber bei allem was mit Netzwerksicherheit zu tun hat sollte man das grundlegende Prinzip verstehen und nicht nur Kochrezepte abtippen.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

OK vielen Dank! Dann stelle ich die Frage anders:

Kann ich an einem Host, auf dem auch ein Firewall läuft, dem User z. B. das Protokoll 80 rausgehend sperren. Aber dem Dienst Squid sollte es möglich sein über proto 80 etwas zu empfangen.
Weiterhin würde ich gerne 80 an 3128 weiterleiten.
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

ja, steht doch so in jedem HowTo zu "transparentem Proxy" drin ...

lesen hilft ungemein :)
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

an was liegt es dann, wenn der Surfen kann, wenn im Firefox kein Proxy Eingestellt ist? Vielen Dank, daß ihr mich zum lesen verführen wollt. Ich habe jetzt viel durchgewälzt. Aber in den Dokus stehen keine Beispiele bzw. Infos darüber. Es wird immer erzählt von einem Host mit Firewall und Squid, während die User aus dem Lokalen Netz surfen und nicht auf dem lokalen Host. Da liegt mein Problem.

Wenn ich den Firewall mit 2 Nic ausstatte hat es sehr wohl funktioniert aber nicht wenn man mit dem Firwall / Squid Host selbst surfen möchte.
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

die Glaskugel hat heute gerade Pause ...

wie sehen denn deine Regeln aus (iptables, oder SuSEfirewall oder was auch immer) ??????
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

kap hat geschrieben:... aber nicht wenn man mit dem Firwall / Squid Host selbst surfen möchte.
Ups... daß das jemand machen möchte.. auf die Idee wäre ich gar nicht gekommen.

Man kann Port 80 ausgehend auf den Squid umleiten.... aber wie geht denn der Squid auf Port 80 raus... *nachdenk*
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

man braucht dann eine "virtuelle" Netzwerkkarte, d.h. auf einer NIC werden zwei IPs eingerichtet.
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Also das eine NIC wird auf Squid umgebogen und der Squid geht über das andere raus... das dürfte gehen, ja... macht mich aber irgendwie nicht glücklich.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

Martin Breidenbach hat geschrieben:Also das eine NIC wird auf Squid umgebogen und der Squid geht über das andere raus... das dürfte gehen, ja... macht mich aber irgendwie nicht glücklich.
mich auch nicht ;)
aber wer surft auf einem Server ?

der ganze Thread ist eher theoretischer Natur.
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

ich habe auch eine 2. NIC drin, was ich aber mit iptables nicht angesprochen habe. Ich habe das ganze mit IPtables und auch SuseFirewall getestet. Um ehrlich zu sein bin ich ein absolutes Newbee im Bereich IPTABLES. Ich habe Port 80 gedropped. Dann konnte man nicht mehr surfen. Ich dachte zuerst, wenn der Squid sowieso läuft dann reiche mir für die Firefox Einstellungen port 3128. Aber ich denke dann kann SQuid nicht mehr arbeiten, weil der Port 80 gedroppt wird.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

kap: hast Du die Möglichkeit einen Linux-Rechner mit zwei Netzwerkkarten als Filter zwischenzuschalten ? Das muß keine 'Höllenmaschine' sein... das würde die Sache wesentlich vereinfachen. Vor allem würde kein Anwender direkt auf dem Firewallrechner arbeiten was ja immer ein Sicherheitsrisiko darstellt.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

hatte ich eigentlich im ersten Eintrag schon beschrieben. Für euch schreibe ich es gerne wieder.

Es ist NUR ein Rechner in einem Cafe. Der mann hat keine 2 .
Dieser mann möchte, daß nur bestimmte Homepages angewählt werden können. (Lößte ich mit SQUID und ACLs)
Nur konnten die Leute im Firefox die Einstellungen ändern und direkt surfen. Mit SQUID und Transparent Proxy habe ich das auf dem selben Rechner nicht hinbekommen. So, dann dachte ich daß ich die Pakete mit Port 80 auf 3128 auf dem selben Rechner per Firewall weiterleiten kann. Das hilft auch nicht, weil sie weiterhin surfen können.

Daher nur 1 Rechner mit Firewall und Squid
kap
Newbie
Newbie
Beiträge: 22
Registriert: 17. Sep 2005, 22:03

Beitrag von kap »

Martin Breidenbach: Das kann ich schon und das klappt auch. Aber das wollte ich nicht und ich dachte ich kann das nur mit einer Maschine. Aber es klappt wohl nicht. Mann kann wohl nicht auf der Firewall Maschine sich selbst ausknipsen. Bzw. kann sein das der Lokale ( lo 127.0....) Dienst mir einen Streich spielt.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Es hätte ja sein können daß ein 2. Rechner machbar gewesen wäre. Damit wäre der Aufbau des Systems deutlich vereinfacht.

Das mit der SuSEFirewall2 hinzutricksen dürfte schwierig bis unmöglich werden. Ich denke das erfordert 'handgestrickte' Firewallregeln. Und das erfordert Einarbeitung in iptables. Was ja auch wieder Arbeit ist.

Lesestoff zu iptables gibts u.a. auf www.iptables.org (im linken Menu auf HOWTOs klicken - gibts auch in Deutsch).

Beispiele für handgestrickte iptables Firewallskripte gibt es z.B. auf http://www.linuxguruz.com/iptables/
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

du kannst dir auch mal dieses Modell anschauen:
http://lartc.org/howto/lartc.cookbook.squid.html

du musst es nur umarbeiten, da bei dir alles auf einem PC läuft.

Eine andere Lösung:
erstelle ein Whitelisting für die erlaubten Sites via iptables und sperre alle anderen. Das ist zwar etwas scripting Arbeit, aber sollte auch funktionieren.
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
Antworten