• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SQUID und IPTABLES

kap

Newbie
Liebe Leute,

ich bin kein Profi aber verstehe ein bischen davon.

Folgendes Problem besteht bei mir. Wahrscheinlich nur ein denkfehler aber möchte mir sicher gehen. Ich habe einen Host mit Netzwerkkarte zu DSL Router. Mit Squid habe ich am selben Host, die Hompages eingeschränkt. Mann kann beispielsweise nur auf die T-online und google Seite. Wenn der User am Host die Internetverbindung z. B. bei Firefox auf Direktem Zugang ändert, ziehen die SQUID Regel nicht mehr. Ich habe es auch nicht mit SQUID hinbekommen, die Benützung v. SQUID zu erzwingen. Daher dachte ich an IPTABLES. Nur weiß ich nicht ob das Geht. Mit dem Firewall möchte ich, daß der User am Host nicht über den Port 80 bzw. mit direkten Einstellungen per Firefox surfen kann sondern nur über den Port 3128. Wenn ich den Port 80 Droppe dann kann wohl auch SQUID keine Anfragen mehr stellen. Ich hoffe es kann mir jemand helfen oder auch nicht.

Vielen Dank!
MfG
S. Kaplan
 

Fytzi

Hacker
kap schrieb:
Ich habe es auch nicht mit SQUID hinbekommen, die Benützung v. SQUID zu erzwingen.
Das funktioniert so: Du verwendest Squid als transparenten Proxy. Dann müssen alle Hosts den Proxy verwenden ob sie wollen oder nicht. Es muss dann auf den Clients nichts umgestellt werden und sie surfen sofort mit Proxy.
 
OP
K

kap

Newbie
Es ist aber ein einzelner Host in einem Cafe. Kann / muß ich den Transparenten Proxy auf dem gleichen Host aufsetzen? Ich muß ja dann aber Cach Aktivieren und Forwarding im Firewall setzen oder?

Schade eigentlich, daß hier nicht so viele einen Antwort wissen.
 

Martin Breidenbach

Ultimate Guru
Du hast doch die Antwort gekriegt: Squid als transparenten Proxy aufsetzen. Das sind 3 Zeilen oder so in de Squid-Konfiguration und 2-4 in der Firewall. Lies Dir das squid transparent proxy howto durch.

http://www.tldp.org/HOWTO/TransparentProxy.html
 
OP
K

kap

Newbie
Die Antworten sind bei euch wohl nur auf minimal Prinzip eingestellt oder?
 

Martin Breidenbach

Ultimate Guru
Ja.

Das HOWTO mußt Du schon selber lesen.

Wenn Du danach konkrete Fragen hast kannst Du die gerne stellen.

Aber bei allem was mit Netzwerksicherheit zu tun hat sollte man das grundlegende Prinzip verstehen und nicht nur Kochrezepte abtippen.
 
OP
K

kap

Newbie
OK vielen Dank! Dann stelle ich die Frage anders:

Kann ich an einem Host, auf dem auch ein Firewall läuft, dem User z. B. das Protokoll 80 rausgehend sperren. Aber dem Dienst Squid sollte es möglich sein über proto 80 etwas zu empfangen.
Weiterhin würde ich gerne 80 an 3128 weiterleiten.
 
OP
K

kap

Newbie
an was liegt es dann, wenn der Surfen kann, wenn im Firefox kein Proxy Eingestellt ist? Vielen Dank, daß ihr mich zum lesen verführen wollt. Ich habe jetzt viel durchgewälzt. Aber in den Dokus stehen keine Beispiele bzw. Infos darüber. Es wird immer erzählt von einem Host mit Firewall und Squid, während die User aus dem Lokalen Netz surfen und nicht auf dem lokalen Host. Da liegt mein Problem.

Wenn ich den Firewall mit 2 Nic ausstatte hat es sehr wohl funktioniert aber nicht wenn man mit dem Firwall / Squid Host selbst surfen möchte.
 

oc2pus

Ultimate Guru
die Glaskugel hat heute gerade Pause ...

wie sehen denn deine Regeln aus (iptables, oder SuSEfirewall oder was auch immer) ??????
 

Martin Breidenbach

Ultimate Guru
kap schrieb:
... aber nicht wenn man mit dem Firwall / Squid Host selbst surfen möchte.

Ups... daß das jemand machen möchte.. auf die Idee wäre ich gar nicht gekommen.

Man kann Port 80 ausgehend auf den Squid umleiten.... aber wie geht denn der Squid auf Port 80 raus... *nachdenk*
 

oc2pus

Ultimate Guru
man braucht dann eine "virtuelle" Netzwerkkarte, d.h. auf einer NIC werden zwei IPs eingerichtet.
 

Martin Breidenbach

Ultimate Guru
Also das eine NIC wird auf Squid umgebogen und der Squid geht über das andere raus... das dürfte gehen, ja... macht mich aber irgendwie nicht glücklich.
 

oc2pus

Ultimate Guru
Martin Breidenbach schrieb:
Also das eine NIC wird auf Squid umgebogen und der Squid geht über das andere raus... das dürfte gehen, ja... macht mich aber irgendwie nicht glücklich.

mich auch nicht ;)
aber wer surft auf einem Server ?

der ganze Thread ist eher theoretischer Natur.
 
OP
K

kap

Newbie
ich habe auch eine 2. NIC drin, was ich aber mit iptables nicht angesprochen habe. Ich habe das ganze mit IPtables und auch SuseFirewall getestet. Um ehrlich zu sein bin ich ein absolutes Newbee im Bereich IPTABLES. Ich habe Port 80 gedropped. Dann konnte man nicht mehr surfen. Ich dachte zuerst, wenn der Squid sowieso läuft dann reiche mir für die Firefox Einstellungen port 3128. Aber ich denke dann kann SQuid nicht mehr arbeiten, weil der Port 80 gedroppt wird.
 

Martin Breidenbach

Ultimate Guru
kap: hast Du die Möglichkeit einen Linux-Rechner mit zwei Netzwerkkarten als Filter zwischenzuschalten ? Das muß keine 'Höllenmaschine' sein... das würde die Sache wesentlich vereinfachen. Vor allem würde kein Anwender direkt auf dem Firewallrechner arbeiten was ja immer ein Sicherheitsrisiko darstellt.
 
OP
K

kap

Newbie
hatte ich eigentlich im ersten Eintrag schon beschrieben. Für euch schreibe ich es gerne wieder.

Es ist NUR ein Rechner in einem Cafe. Der mann hat keine 2 .
Dieser mann möchte, daß nur bestimmte Homepages angewählt werden können. (Lößte ich mit SQUID und ACLs)
Nur konnten die Leute im Firefox die Einstellungen ändern und direkt surfen. Mit SQUID und Transparent Proxy habe ich das auf dem selben Rechner nicht hinbekommen. So, dann dachte ich daß ich die Pakete mit Port 80 auf 3128 auf dem selben Rechner per Firewall weiterleiten kann. Das hilft auch nicht, weil sie weiterhin surfen können.

Daher nur 1 Rechner mit Firewall und Squid
 
OP
K

kap

Newbie
Martin Breidenbach: Das kann ich schon und das klappt auch. Aber das wollte ich nicht und ich dachte ich kann das nur mit einer Maschine. Aber es klappt wohl nicht. Mann kann wohl nicht auf der Firewall Maschine sich selbst ausknipsen. Bzw. kann sein das der Lokale ( lo 127.0....) Dienst mir einen Streich spielt.
 

Martin Breidenbach

Ultimate Guru
Es hätte ja sein können daß ein 2. Rechner machbar gewesen wäre. Damit wäre der Aufbau des Systems deutlich vereinfacht.

Das mit der SuSEFirewall2 hinzutricksen dürfte schwierig bis unmöglich werden. Ich denke das erfordert 'handgestrickte' Firewallregeln. Und das erfordert Einarbeitung in iptables. Was ja auch wieder Arbeit ist.

Lesestoff zu iptables gibts u.a. auf www.iptables.org (im linken Menu auf HOWTOs klicken - gibts auch in Deutsch).

Beispiele für handgestrickte iptables Firewallskripte gibt es z.B. auf http://www.linuxguruz.com/iptables/
 

oc2pus

Ultimate Guru
du kannst dir auch mal dieses Modell anschauen:
http://lartc.org/howto/lartc.cookbook.squid.html

du musst es nur umarbeiten, da bei dir alles auf einem PC läuft.

Eine andere Lösung:
erstelle ein Whitelisting für die erlaubten Sites via iptables und sperre alle anderen. Das ist zwar etwas scripting Arbeit, aber sollte auch funktionieren.
 
Oben