Zwangsweise Squid benutzen

[Kintobi]

Moin,
Ich würde gerne übergangsweise alle www-Anfragen über Squid umleiten. Das muss doch möglich sein, oder muss man den Proxy bei jedem Benutzeraccount und jedem Browser per Hand eintragen?
Wenn Squid auf einem anderen Rechner läuft, der als Router konfiguriert ist, ist das eigentlich kein Problem. Aber bei mir muss Squid auf dem Rechner laufen, auf dem auch der Browser läuft.
Ich habe eigentlich keine Lust auf dem Rechner eine virtuelle Maschine aufzusetzen, nur damit ich Squid darüber laufen lassen kann. Hat nicht jemand einfachere Ideen dazu?
Kleine Anmerkung: Wenn ich alle Anfragen nach aussen auf Squid umlenke, wie verhindere ich dann, dass die Squid Anfragen nicht umgelenkt werden?
Danke Euch fürs mitdenken!
Tobi

 

[pft]

Das Stichwort heißt "transparent proxy"

Dazu gibts jede Menge Anleitungen, HowTos usw.

Das Prinzip ist, dass man mittels iptables den IP Verkehr "routet"

Einige Links findest Du in diesem Thread
http://www.linux-club.de/ftopic66854.html

 

[jengelh]

Man kann auch untransparentes Proxying auf einen spezifischen Squid leiten.

 

[pft]

willst Du ihn verschrecken? :twisted:

kann mir grob vorstellen was DU meinst. Lass mal Details hören wie und vor allem warum.

Was ich meinte war nicht: "Du brauchst einen transparenten Proxy"
sondern: "suche nach 'transparent proxy' und Du wirst Anleitungen finden, die Dein Problem prima lösen"

Seine Bitte war ja nicht: "Nenne mir alle Wege die zum Ziel führen", sondern "Beschreibe einen!"

Transparenz ist nur eine von mehreren Motivation für einen "transparent Proxy". Siehe auch:
http://www.tldp.org/HOWTO/TransparentProxy.html

Either
You want to force clients on your network to use the proxy, whether they want to or not.
You want clients to use a proxy, but don't want them to know they're being proxied.
You want clients to be proxied, but don't want to go to all the work of updating the settings in hundreds or thousands of web browsers.

 

[jengelh]

Und die Motivation untransparent zu fahren ist das Caching mit transparent proxying nicht ganz konform ablaufen kann.

 

[Kintobi]

Also die Stichworte sind schon recht helfend. Vor allem habe ich unter dem einen Thread eine Liste mit Links und Howtos gefunden. Ich habe noch keine Zeit gehabt das auszuprobieren, aber ich werde das demnächst tun und Euch dann berichten.

Also zum "warum?". Ich administriere ein gemischtes (Win+Linux) Netz mit einem Samba als PDC (Primary Domain Controller) (aber das nur so am Rande). Jetzt haben wir 6 ältere PCs inklusive Monitore geschenkt bekommen, allerdings ohne Festplatte (aus Datenschutzgründen). Um die zum Laufen zu kriegen, habe ich einen Terminal-Server aufgesetzt (siehe ltsp-Projekt). Derzeit läuft der Server (natürlich ein neuerer Rechner) mit Edubuntu, aber ich finde mich in verschiedenen Distributionen ganz gut zurecht. Die Thin Clients sollen recht öffentlich zugänglich sein, und ich hätte deshalb gerne für das Web einen Content Filter. Bei unserem derzeitigem Router ist Contentfilterung nicht möglich und ich will eigentlich auch nicht viel am Netzwerk ändern (also weder den Router ersetzen noch einen Rechner zwischenschalten). Da beim ThinClient-TerminalServer System alle Programme auf dem Server ausgeführt, muss der Filter auf dem gleichen Rechner, wie der Browser laufen. Außerdem soll Squid ja nicht einfach umgehbar sei, indem man den Proxy-Server austrägt (Da fällt mir auf: es ist natürlich auch umgehbar, wenn alle anderen Ports ungefiltert/frei wären und man einfach einen öffentlich zugänglichen Proxy wählen). Das also zum "Warum?".

Wieso das Caching beim transparentem Proxy nicht konform ablaufen kann, habe ich noch nicht durchschaut. Liegt aber vielleicht auch daran, dass ich transsparent und untranssparent noch nciht genau abgrenzen kann. Bisher stelle ich mir vor, dass ein transparenter Proxy für den Benutzer "unsichtbar" die ausgehenden Anfragen abfängt und abarbeitet. Aber vielleicht muss ich das auch nicht verstehen.

Ich werde mich wohl nochmal mit iptables beschäftigen müssen (habe ich vor urzeiten schonmal getan und squid selbst läuft ja schon auf dem Rechner). Nach dem ersten überfliegen habe ich noch so meine Probleme mir vorzustellen, wie ich iptables sage, dass alle Anfragen für Port 80 nach aussen auf Squid umgeleitet werden - aber eben nicht die Anfragen auf Port 80, die von Squid kommen. Das Problem ist, dass sich viele darauf beziehen, dass Squid auf einem Router läuft. Und das ist bei mi ja gerade nicht der Fall. Aber ich werde mich melden, wenn ich nicht weiterkomme, oder wenn ich es geschafft habe!
Grüße und danke fürs Mitdenken!
Tobi