Iptables / Squid und Shockwaveproblem

[MOR99]

:?:

Hallo zusammen,

habe hier ein Problem und komme einfach nicht weiter

Habe einen Linux Router/Fileserver aufgebaut. Das ganze läuft unter SuSE 10 und ich bin soweit recht zufrieden. Meine Kinder surfen über den Squid mit Squidguard, meine Frau direkt über den Standardgateway ohne Restriktionen (sie ist ja über 18 8) ) .

Folgendes Problem: Meine Kinder sind oft in einem Chat http://www.habbohotel.de. Da das Habbohotel Shockwave einsetzt, kommen die Kinder über den Squid nicht drauf. Der benutzte Shockwave Player braucht eine direkte Verbindung ins Internet. Mit einem Http-Proxy kommt man da einfach nicht weiter.
Nun habe ich mir folgendes überlegt:

Iptables soll den Rechnern 192.168.0.20 und .30 den Zugiff auf explizit 4 IP-Adressen (62.50.37.96, 62.50.37.28, 62.50.38.64, 62.50.38.26) erlauben, das restliche www aber blockeren. Will heissen:

Ich trage bei den Kindern Standardgateway und DNS Server ein um das Habbohotel durchzulassen aber für den Rest müssen sie über den Proxy gehen.

Ich hoffe, dass ich mich halbwegs verständlich ausgedrückt habe? :roll:

Könnte mir vielleicht jemand auf die Sprünge helfen und mir Ansätze bzw. die benötigen Regeln posten?

 

[Martin Breidenbach]

Nanu. Ich bin mir ziemlich sicher daß Shockwave bei mir auch über Proxy geht. Ich habe hier mal mit Firefox unter Windows (über Squid ohne Squidgard etc) getestet. Damit komme ich auf die von Dir genannte Website und wenn ich da auf einen Link klicke startet was buntes mit Shockwave oder Flash oder so.

 

[MOR99]

Die Seite und die Links funktionieren, das ist richtig.

Der Knackpunkt liegt beim Einchecken. Du klickst auf 'Check-In', gibst Benutzername und Kennwort ein und dann kommt die Fehlermeldung des Habbohotels. Ich nehme an, dass Squid den Stream nicht weitergibt.

Deaktiviere ich den Proxy bei den Kindern, gehe in die TCP/IP Eigenschaften, setze den Standardgateway und die DNS Server, funktioniert das Login und Du kannst Dich im Hotel bewegen.

 

[Martin Breidenbach]

Nun Anmelden werde ich mich da NICHT zu Testzwecken.

*Grübel*

Wenn der Proxy beim Client aktiviert ist dann werden die Pakete ja vom Client an Proxy:3128 oder so geschickt. Ich sehe momentan nicht wie iptables da die rausfischen soll die an habbohotel gehen. Oder hast Du das als transparent proxy konfiguriert und bei den Clients ist kein Proxy eingetragen ? Dann geht aber AFAIK https nicht.

 

[MOR99]

Ich verstehe worauf Du hinaus willst:

Wenn ich den Clients den Gateway und DNS über das Interface eintrage, ist ja grundsätzlich das Internet 'offen'. Trage ich zusätzlich im Browser den Proxy ein, filtert Squidguard trotzdem und es geht nicht aller Mist durch, da die Blacklists greifen. Auch das Habbohotel läuft, da die URL nicht von Squid geblockt wird.

Nun könnte es aber sein, dass die Zwerge auf die Idee kommen, den Proxy zu deaktivieren. Schwupps, haben die einen vollen Internet Zugriff.
Lasse ich das www von Iptables aber blocken und nur die 4 Habbo IP's zu hätte ich von hinten durch die Brust ins Auge erreicht, was ich will... :idea:

 

[Martin Breidenbach]

Du weißt was ein transparent proxy ist ? Das ist ein Proxy der so eingebunden wird daß der User im Normalfall nichts davon mitbekommt und eben auch nichts einstellen muß.

Dazu wird auf der Firewall Port 80 ausgehend auf den Proxy umgebogen.

Nachteile:
- es gibt Webserver die auf einem anderen Port liegen (z.B. 8080)
- das klemmt AFAIK mit https; da muß man den Proxy eintragen

Um Squid als transparent proxy zu benutzen muß man im Squid ein paar Einstellungen machen (dazu gibts ein transparent proxy howto) und die 'Portverbiegungen' in der Firewall (also extern:80 auf proxy:3128 und eine forward Regel die die Pakete dann auch durchläßt). Und da könnte man ja für diese 4 IP-Adressen eben NICHT umleiten.

 

[MOR99]

hmmm... bin dran und werde Dir berichten :!: