Proxy Server einrichten

[busaku 10]

Hallo zusammen,

 

ich habe da so ein kleines Problem einen Proxy ein zu richten.

 

Stand der Dinge:

Wir haben einen kleinen Router, dahinter einen Server auf dem virtuell weitere 3 Server laufen. Neben den Server sind hinter dem Router die Clienten.

Es geht also quasi alles gleich in den Router.

 

Eine Virtuelle Machine ist ein Windows Server 2003, ein weiterer ein Linux Ubuntu, welchen ich gerne als Proxy nutzen würde.

 

Soweit alles kein Problem. Als Proxy nutze ich Squid (squid : Optimising Web Delivery).

So lange ich im Browser (beim Client) den Proxy manuell einstelle funktioniert auch alles soweit klasse. Jetzt könnte ich ja über GPO einen Proxy zuweisen. Allerdings nutzen wir a) Firefox, b) haben wir noch Linux und Mac Clienten.

 

Kommen wir also zum Problem:

Nimmt man bei einem Clienten die Proxyeinstellungen raus, nutzt er das Gateway (also den Windows-Server, welcher an den Router weiterleitet) und umgeht den Proxy.

 

Wie kann ich jetzt verhindern, dass die Clienten um ins Internet zu gehen den Windows Server nutzen?

Ich habe schon mit Routing und RAS rum gespielt, aber egal was ich versuche, solange ich nur port 80 sperren will, klappt es nicht. Sperre ich eine ganze IP aus, gehts..ist aber nicht sinn der übung.

 

 

Man, ist das ganze kompliziert. Aber ich hoffe ihr wisst was ich meine und könnt mir bei meinem Problem helfen ;)

 

Danke schonmal im Voraus.

 

busaku

[Dukel 436]

Du kannst einen Zwangsproxy nutzen. Aller Traffic, welcher nach außen Port 80 (außer der Proxy) geht wird umgeleitet auf proxy Port xx.

[busaku 10]

Du kannst einen Zwangsproxy nutzen. Aller Traffic, welcher nach außen Port 80 (außer der Proxy) geht wird umgeleitet auf proxy Port xx.

 

Jau, genau da liegt ja das Problem ;)

Wie konfiguriere ich das ?

[Dukel 436]

In der Firewall. Dort wo aller Traffic durchgeht.

 

Wie das im Detail geschieht kommt auf das Gerät an.

[Marco31 31]

Ich weiß nicht ob dir das weiterhilft, aber man kann auch beim Firefox die Proxyeinstellungen über GPO einstellen. Zwar nicht von Haus aus, aber mit dem angepassten Firefox von Frontmotion und der dazugehörigen GPO habe ich es zumindest bei uns mit Proxy per GPO hinbekommen. Außerdem kann man damit (wenn man möchte) auch die Firefox Veretilung und die Updates per GPO machen.

 

Das würde zumindest bei den Win-Clients funktionieren.

 

Siehe Link: FrontMotion Firefox Community Edition

[busaku 10]

Ich weiß nicht ob dir das weiterhilft, aber man kann auch beim Firefox die Proxyeinstellungen über GPO einstellen. Zwar nicht von Haus aus, aber mit dem angepassten Firefox von Frontmotion und der dazugehörigen GPO habe ich es zumindest bei uns mit Proxy per GPO hinbekommen. Außerdem kann man damit (wenn man möchte) auch die Firefox Veretilung und die Updates per GPO machen.

 

Das würde zumindest bei den Win-Clients funktionieren.

 

Siehe Link: FrontMotion Firefox Community Edition

 

Aber die Macs sind dann immernoch nicht bedient. Und abschalten könnte man ihn dann auch einfach. Also leider nicht der richtige weg.

Hab aber gestern noch geschafft, einen Clienten den Port 80 über die Windows Server Firewall zu blockieren.

Wahrscheinlich bleibt mir also wirklich nichts anderes übrig.

 

Also danke schonmal.

 

paD

[Babble 11]

Such mal nach "Transparenter Proxy". Du must erreichen, das Clientanfragen an Port 80 der Firewall auf den Port 3128 des Squid umgeleitet werden. Nur dieser darf über Port 80 ins Internet.

 

Ich hatte das selber lange Zeit so in Betrieb und versuche mich gerade wieder daran zu erinnern :-), allerdings mit einer ausgewachsenen Firewall.

 

Wenn dein Router das nicht kann, hast du kaum eine Chance das so umzusetzen...

[Sunny61 773]

Hab aber gestern noch geschafft, einen Clienten den Port 80 über die Windows Server Firewall zu blockieren.

Wahrscheinlich bleibt mir also wirklich nichts anderes übrig.

 

Das wäre aber Murks. Hol dir notfalls einen externen Dienstleister ins Haus, der kann dir das sicherlich schnell korrekt konfigurieren.

[truemperA 10]

Such mal nach "Transparenter Proxy". Du must erreichen, das Clientanfragen an Port 80 der Firewall auf den Port 3128 des Squid umgeleitet werden. Nur dieser darf über Port 80 ins Internet.

 

Ich hatte das selber lange Zeit so in Betrieb und versuche mich gerade wieder daran zu erinnern :-), allerdings mit einer ausgewachsenen Firewall.

 

Wenn dein Router das nicht kann, hast du kaum eine Chance das so umzusetzen...

 

Wichtig hier natürlich dem SQUID auch zu sagen, dass er nun "transparent" arbeiten soll, siehe: Transparent Caching/Proxy - Squid User's Guide

Sonst will der SQUID nicht so gern.

[djmaker 95]

Hmmm,

 

alles ganz einfach:

 

Du brauchst in deiner virtuellen Umgebung für den Proxy eine exklusive (externe) NIC.

 

Konzept:

 

Die interne NIC des des Proxy wird als Standardgateway an die Clients gegeben.

Die 2. NIC im Server wird exklusiv an den Proxy gebunden und an den Router direkt angeschlossen.

Damit zwingst du allen Systemen den Proxy auf. Du musst dann natürlich für die Verbindung Proxy - Router ein anderes Subnetz nehmen.

[Babble 11]

@djmaker:

 

Ein Proxy ist kein Router.

 

Ein Proxy kann http- und ftp-Requests beantworten, aber keine Datenpakete in andere Netze weiterleiten. Dein Konzept würde den kompletten Internetzugang der Clients blocken.

[InformatikKFM 17]

So wie djmaker es beschrieben hat läuft es am einfachsten. Es müssen nichtmal Einstellungen an den Clients vorgenommen werden. Einfach dem Proxy die IP-Adresse des aktuellen Router geben, Router in andere Netz verfrachten und per zweite NIC den Router mit dem Proxy verbinden. Dann noch eine entsprechende IPTABLES-Regel setzen und alles ankommende geht ueber den transparenten Proxy ..