Hallo zusammen,
ich habe etwas Verständnisprobleme mit dem Proxy im transparenten Modus.
1. Durch die Aktivierung alleine ist er ja noch keineswegs für irgendein Netzwerk/Objekt aktiv. Definiere ich keine INCLUDE Regel, dann ist es im Prinzip egal, ob ich ihn aktiviere oder nicht. Sehe ich das so korrekt?
2. Wenn dem so ist, wozu brauche ich dann EXCLUDE Regeln?
3. Wenn der Proxy transparent arbeitet, warum benötige ich dann überhaupt eine Firewall Regel für den Proxy Zugriff auf das jeweilige Firewall-Interface? Da ich bei den Clients in einem Netz keinen Proxy angebe, muss der Proxy ja ohnehin irgendwie implizit jede Anfrage abgreifen (sofern eben eine INCLUDE Regel angelegt wurde)?
Vielen Dank fürs lesen.
Gruß
MH
Transparenter Proxy
Moderator: Securepoint
Hallo,
1. Das ist korrekt
2. Fallbeispiel: Das gesamte LAN soll den transparenten Proxy verwenden außer 1x Server: LAN Include, Server Exclude
3. Die Regel benötigen Sie trotzdem (dazu müssten Sie sich einmal anschauen wie das in den Iptables abgebildet wird)
Hier aber die kurzform:
Die transparente Regel schreibt einen REDIRECT von Port 80 auf 2411.
Die Regel im Portfilter erlaubt den Clients auf die UTM mit Port 2411 zuzugreifen
Gruß
Kenneth
1. Das ist korrekt
2. Fallbeispiel: Das gesamte LAN soll den transparenten Proxy verwenden außer 1x Server: LAN Include, Server Exclude
3. Die Regel benötigen Sie trotzdem (dazu müssten Sie sich einmal anschauen wie das in den Iptables abgebildet wird)
Hier aber die kurzform:
Die transparente Regel schreibt einen REDIRECT von Port 80 auf 2411.
Die Regel im Portfilter erlaubt den Clients auf die UTM mit Port 2411 zuzugreifen
Gruß
Kenneth
Hallo Kenneth.
Ist ja schon 2,3 Tage alt der Post. Vielleicht liest es dennoch jemand.
Ich möchte einen Transparenten Proxy für einen Kunden machen und
Port 443 auf Port 3128 umleiten (Redirect).
Bei meinen alten Iptables Firewalls war dies ganz einfach.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
Leider bekomme ich es mit Securepoint mit dem DESTNAT einfach nicht hin.
Bitte einen Tipp.
Danke. :-)
Ist ja schon 2,3 Tage alt der Post. Vielleicht liest es dennoch jemand.
Ich möchte einen Transparenten Proxy für einen Kunden machen und
Port 443 auf Port 3128 umleiten (Redirect).
Bei meinen alten Iptables Firewalls war dies ganz einfach.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
Leider bekomme ich es mit Securepoint mit dem DESTNAT einfach nicht hin.
Bitte einen Tipp.
Danke. :-)
Das ist nicht noetig. Das macht die Firewall ueber die Include-Regel von sich aus.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Hallo Mario.
Etwas ausführlicher.
Ich musste am Squid einiges in der Squid.Conf verändern. Ein kommunaler Kunde brauchte
spezielle Einstellungen für Parent Proxy.
Wenn ich nun den Windows-Clients in der Proxy Einstellung den Squid von der UTM gebe, funktioniert
es wunderbar und alle kommen über den Parent auf die entsprechenden Seiten.
Nehme ich den Proxy weg, geht nichts. Auch im cache.log sehe ich keine Einträge mehr.
Also landen die Anfragen über 443 nicht beim Squid. Im Transparenten Modus wird über
Include nur Port 80 auf 3128 umgeleitet. (Oder so ähnlich).
So gehe ich davon aus, das 443 von mir umgeleitet werden muss.
SSL-Interception wird hier in den Fall nicht benutzt.
Danke. :-)
Etwas ausführlicher.
Ich musste am Squid einiges in der Squid.Conf verändern. Ein kommunaler Kunde brauchte
spezielle Einstellungen für Parent Proxy.
Wenn ich nun den Windows-Clients in der Proxy Einstellung den Squid von der UTM gebe, funktioniert
es wunderbar und alle kommen über den Parent auf die entsprechenden Seiten.
Nehme ich den Proxy weg, geht nichts. Auch im cache.log sehe ich keine Einträge mehr.
Also landen die Anfragen über 443 nicht beim Squid. Im Transparenten Modus wird über
Include nur Port 80 auf 3128 umgeleitet. (Oder so ähnlich).
So gehe ich davon aus, das 443 von mir umgeleitet werden muss.
SSL-Interception wird hier in den Fall nicht benutzt.
Danke. :-)
SSL Interception und eine Include Regel fuer HTTPS ist dann ein Muss
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de