Transparenter Proxy

MopedHans · Beitrag von **MopedHans** » Mi 10.12.2014, 12:00

Hallo zusammen,

ich habe etwas Verständnisprobleme mit dem Proxy im transparenten Modus.

1. Durch die Aktivierung alleine ist er ja noch keineswegs für irgendein Netzwerk/Objekt aktiv. Definiere ich keine INCLUDE Regel, dann ist es im Prinzip egal, ob ich ihn aktiviere oder nicht. Sehe ich das so korrekt?

2. Wenn dem so ist, wozu brauche ich dann EXCLUDE Regeln?

3. Wenn der Proxy transparent arbeitet, warum benötige ich dann überhaupt eine Firewall Regel für den Proxy Zugriff auf das jeweilige Firewall-Interface? Da ich bei den Clients in einem Netz keinen Proxy angebe, muss der Proxy ja ohnehin irgendwie implizit jede Anfrage abgreifen (sofern eben eine INCLUDE Regel angelegt wurde)?

Vielen Dank fürs lesen.

Gruß
MH

Kenneth · Beitrag von **Kenneth** » Mi 10.12.2014, 12:35

Hallo,

1. Das ist korrekt

2. Fallbeispiel: Das gesamte LAN soll den transparenten Proxy verwenden außer 1x Server: LAN Include, Server Exclude

3. Die Regel benötigen Sie trotzdem (dazu müssten Sie sich einmal anschauen wie das in den Iptables abgebildet wird)

Hier aber die kurzform:

Die transparente Regel schreibt einen REDIRECT von Port 80 auf 2411.
Die Regel im Portfilter erlaubt den Clients auf die UTM mit Port 2411 zuzugreifen

Gruß

Kenneth

MopedHans · Beitrag von **MopedHans** » Fr 12.12.2014, 18:59

Vielen Dank für die Antworten.

Gruß & schönes WE
MH

spb · Beitrag von **spb** » Mo 26.09.2022, 11:56

Hallo Kenneth.

Ist ja schon 2,3 Tage alt der Post. Vielleicht liest es dennoch jemand.
Ich möchte einen Transparenten Proxy für einen Kunden machen und
Port 443 auf Port 3128 umleiten (Redirect).
Bei meinen alten Iptables Firewalls war dies ganz einfach.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

Leider bekomme ich es mit Securepoint mit dem DESTNAT einfach nicht hin.
Bitte einen Tipp.
Danke. :-)

Beitrag von **Mario** » Mo 26.09.2022, 12:53

Das ist nicht noetig. Das macht die Firewall ueber die Include-Regel von sich aus.

spb · Beitrag von **spb** » Mo 26.09.2022, 15:06

Hallo Mario.

Etwas ausführlicher.
Ich musste am Squid einiges in der Squid.Conf verändern. Ein kommunaler Kunde brauchte
spezielle Einstellungen für Parent Proxy.
Wenn ich nun den Windows-Clients in der Proxy Einstellung den Squid von der UTM gebe, funktioniert
es wunderbar und alle kommen über den Parent auf die entsprechenden Seiten.

Nehme ich den Proxy weg, geht nichts. Auch im cache.log sehe ich keine Einträge mehr.
Also landen die Anfragen über 443 nicht beim Squid. Im Transparenten Modus wird über
Include nur Port 80 auf 3128 umgeleitet. (Oder so ähnlich).

So gehe ich davon aus, das 443 von mir umgeleitet werden muss.
SSL-Interception wird hier in den Fall nicht benutzt.

Danke. :-)

Beitrag von **Mario** » Mo 26.09.2022, 15:11

SSL Interception und eine Include Regel fuer HTTPS ist dann ein Muss

spb · Beitrag von **spb** » Mo 26.09.2022, 17:13

Ok. Danke.
:-)