Søg
Avatar billede zliber Nybegynder
19. januar 2005 - 08:33 Der er 3 kommentarer og
1 løsning

Transparent Squid

Hej eksperter!

Jeg sidder og er ved at lave en server.
Jeg har et internt LAN med 192.168.0.X, og min server (gateway) jeg sidder og arbejder på at få til at virke, og så mit internettet på den anden side.

Jeg ønsker der skal være transparent proxy, MEN!!!

Hvis jeg laver en transparent squid, så skal jeg sætte nogle linier aktive, for at den bliver transperant... Men jeg skal også vha min firewall tvinge trafikken fra port 80 til f.x. port 8080.

Håber vi er enige så langt...

Hvis jeg får firewallen til at tvinge port 80 trafik gennem port 8080. Er det så nødvendigt at lave SQUID'en transparent?

Samtidig vil jeg gerne høre, hvordan man undgår, at udefra kommende kan bruge min squid. Jeg lavede en test hvor jeg udefra gik på nettet efter at have skrevet min SQUID's IP i Internetindstillinger... Og jeg fik lov at bruge den og gå på nettet på squid's IP adresse.

Hvordan UNDGÅR man dette?

Håber der er nogle kloge hoveder som kan hjælpe!
På forhånd tak!

PS: Det drejer sig om RedHat 8.0
Avatar billede gozar Nybegynder
19. januar 2005 - 15:21 #1
Jeg mener for at lave en transparent proxy er du nød til at forwarde port 80 trafik til din squid.

Jeg antager her at eth0 er din wan forbindelse og at eth1 er din lan.
følgende kan bruges for at blokere at hele verden kan få forbindelse til squiden
iptabels -t INPUT -i eth0 -p tcp --dport 8080 -j REJECT
og følgende til at forwarte http reqursts til 8080
Dette kræver dog at at /proc/sys/net/ipv4/ip_forward er sat ti1 1
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination lanip:8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to-destination lanip:8080

Du skal måske også lige tænke på at selv om port 80 er standart porten til http, er det abselut ikke et krav. så hvis en fra lan siden wil se www.eksempel.dk:3057 hjælper en transparent proxy ikke noget!
Avatar billede zliber Nybegynder
02. februar 2005 - 19:14 #2
Deeeet kan jeg godt se.
1) Den med REJECT den er jeg helt med på - Den er go' nok!
2) Hvorfor skal man tvinge firewallen til at smide trafikken til port 8080 hvis det kommer fra port 80? Hvis firewallen ikke tillader port 80 trafik. Så kommer man vel ikke ud. Hvis den så tillader port 8080 trafik, så må det jo ryge gennem proxyen uanset hvad?
3) Hvordan skal man så gøre? Brugerne kan jo "snyde" og lade være med at skrive proxyen i deres browser, og så har de fri internetforbindelse. Og så som du siger det, så kan de også snyde ved at skrive et upriviligeret port nummer efter hjemmeside adressen. Hvad kan man så gøre for at man ikke kan snyde sig udenom?
Avatar billede gozar Nybegynder
03. februar 2005 - 00:46 #3
1. Er du? det er ikke port 80 der bliver rejectet!
Hvis ip pakken kommer på interface eth0 og protokollen er tcp og hvis destinations porten er 8080 så smid denne ip pakke væk!

2. For at gøre den tranperant. http skal igennem squid fordi, squid er proxy serveren. Ellers er der jo ikke brug for den! port 80 bliver ikke blokeret af det eksempel jeg har givet.

3. Igen ifølge det eksempel kan man ikke snyde sig udenom, med mindre du router andre porte! en http requrst til port 81 vil simpelhend bare timeout (med mindre browseren er konfigureret til at bruge squid)
Avatar billede zliber Nybegynder
07. maj 2005 - 23:22 #4
Ok, jeg kan ikke rigtigt give nogen point, da der ikke er nogen svar, men hvis du vil have dine point gozar, så må du lige skrive det, så må vi finde ud af noget.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
htaccess virker ikke på Ubuntu Server Af Strawberry i Linux 1 03/01/202621:50 04/01/202615:33
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
22/0120:51 Knap til ipad Af FinnLauridsen i Excel
21/0113:53 Icloud mail via Outlook Af lbc i E-mail programmer
21/0108:32 USB NØGLE gratis Af nu_igen i Andet hardware
20/0121:11 Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP
20/0116:10 Tomt felt i Start Af ErikHg i Windows
White papers
Flere white papers »