IPTables - Forwarding auf Proxyserver

Jump to last post
C

Cazawhi

Geht ein
Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
Hallo zusammen, vorab entschuldigt meine hohe Fragen-Frequentität™, aber ich sitze zurzeit an einem aufwendigeren Projekt und bin noch nicht vollends mit der Thematik versiert. ^^

Zu meiner Frage:
Ich habe mich dazu bereit erklärt, für eine Einrichtung die bis jetzt ausschließlich Ethernetanschlüsse hat, WLAN-APs aufzustellen. Jedoch warnte man mich, pure Access Points kämen wohl mit der Adressierung nicht klar (die Admins in dieser Einrichtung sind etwas rückständig und überblicken ihr eigenes System nicht mehr) Meine Erkenntnis ist, dass deren DHCP-Server wohl nicht funktioniert, und die Vergabe einer statischen IP das Problem löst.
Also schlug ich vor jeweils Minicomputer zwischen AP und Netzwerk zu schalten auf denen ich über mehr Möglichkeiten verfüge eine Verbindung aufzubauen und weiterzuleiten.

Jetzt hat das Netzwerk nen http proxy und ich bin etwas überfragt wie ich das händln soll. Die Standard Forward-Regeln kann ich, jedoch hätte ich gern, dass der Minirechner sich bereits mit dem Proxy verbindet, sich authentifiziert und alle Clients am AP (eth1) zum Proxy auf eth0 durchtunnelt ohne dass der User am AP noch etwas tun muss.
Das System selbst sollte natürlich auch per Proxy mit dem Internet interagieren können.
Da direkt die Frage Nr. 2: Ich habe apt konfiguriert den Proxy zu benutzen, jedoch sagte er, er fände keinen Proxy-Server auf "proxy:8080". Kann ich das irgendwie auflösen lassen, damit da 'ne IP rauskommt und kein "hostname"?

Und noch was: wird bei Proxy nur der http(s) Traffic durchgeleitet? Ein Traceroute wird beim Proxyserver gedroppt, eine DNS-Anfrage an den Google-DNS geht durch.


Danke schonmal für eure Antworten.

Erforderliche Proxy-Konfiguration (so stands in den Windows-Rechnern die am Ethernet hängen):

http: proxy:8080
https: none
ftp: proxy:8080
socks: proxy:8080

SOCKS v5
 
Cazawhi schrieb:
Hallo zusammen, vorab entschuldigt meine hohe Fragen-Frequentität™, aber ich sitze zurzeit an einem aufwendigeren Projekt und bin noch nicht vollends mit der Thematik versiert. ^^
Zum Vergrößern anklicken....

Hä? Für sowas ist ein IT-Forum doch gedacht ;)

Wenn du nervst, antworten dir manche Leute einfach nicht. Andere sagen es dir. Von daher alles ok :)

Jedoch warnte man mich, pure Access Points kämen wohl mit der Adressierung nicht klar
Zum Vergrößern anklicken....
Das klingt nach Inkompetenz und/oder einem falsch eingerichteten Netzwerk.

Also schlug ich vor jeweils Minicomputer zwischen AP und Netzwerk zu schalten auf denen ich über mehr Möglichkeiten verfüge eine Verbindung aufzubauen und weiterzuleiten.
Zum Vergrößern anklicken....
Tu's nicht. Der Durchsatz wird tiefer in die Knie gehen als Tila Tequila.

Und noch was: wird bei Proxy nur der http(s) Traffic durchgeleitet?
Zum Vergrößern anklicken....
Kommt darauf an. Wenn's ein HTTP-Proxy ist, ja, wenn's ein SOCKS-Proxy ist, kannst du auch sämtliche anderen Protokolle "durchschleifen". Ist nur oft keine gute Idee.

Mein Rat: Fixe das DHCP/DNS-Setup und lass' das mit den Mini-Rechnern. Das macht die Sache nur unnötig kompliziert.
 
Das, was phre4k sagt. Alternativ: Stell einen Server und bau eine Parallelinfrastruktur in einem anderen IP-Raum auf, und umgeh den Proxy auch gleich. Einfach die Dosen direkt auf nen eigenen Switch patchen lassen und den Rest über nen ordentlichen Server laufen haben. RPis haben zwar gute Prozessoren, aber die Busanbindung des Netzwerkadapters ist unter aller Sau, daher ist das - wie phre4k schon gesagt hat - keine gute Idee.

Was die Admins angeht... naja... ich glaub, Unfähigkeit triffts ganz gut...
 
  • Thread Starter Thread Starter
  • #4
Also: Unfähige Admins auf jeden Fall. Ich kann das Problem nicht wirklich gut beschreiben ohne essenzielle Informationen preiszugeben, glaubt mir einfach. :)

Proxyserver umgehen wird unmöglich, auf die Interne Infrastruktur habe ich keinen Einfluss. Ich will ein abgeschottetes Netz bauen, welches sich nur aus dem Internen Netz Internetzugang zieht.
Die Performance wird wohl ungut, aber ich ich habe auch keinen Raspi sondern einen anderen Minirechner genommen, der etwas mehr Durchflussrate haben sollte. Ein Flaschenhals ist es trotzdem nicht, denn die Internetanbindung der Einrichtung ist sowieso schon madig.
 
Also: Du hast eine Netzwerkdose, aus der kommt Internet. Zwischen dieser Dose und dem Internet hängt ein Proxyserver. Soweit korrekt?

Dann klemm einen alten Rechner mit zwei Netzwerkkarten an die Dose und an den AP, lass den Adapter mit dem AP von dnsmasq mit DHCP und DNS versorgen, bau nen Forwarding zwischen den Adaptern mit iptables (inklusive NAT) und lass den Server per Cronjob die Authentifizierung am Proxy übernehmen. Für den Proxy sieht es dann immer so aus, als würde nur dieser eine Rechner ins Internet wollen, egal wie viele Clients du im WLAN hängen hast.
 
Das klingt schlimm.

Warum Rechner und kein Router? EdgeRouter ER-X ist wohl billiger als jeder PC.
 
  • Thread Starter Thread Starter
  • #7
Für den Proxy sieht es dann immer so aus, als würde nur dieser eine Rechner ins Internet wollen, egal wie viele Clients du im WLAN hängen hast.
Zum Vergrößern anklicken....
Ja genau das war doch der Plan ^^ nur eben mit Minirechner. Jetzt hätte ich gern ein etwas detailierteres Tutorial was diesen Part angeht:
Metal_Warrior schrieb:
bau nen Forwarding zwischen den Adaptern mit iptables (inklusive NAT) und lass den Server per Cronjob die Authentifizierung am Proxy übernehmen.
Zum Vergrößern anklicken....
Pures Forwarding bringt mich zwar ins Lokale Netzwerk aber tunnelt mich noch nicht in den Proxy.

phre4k schrieb:
Das klingt schlimm.
Zum Vergrößern anklicken....
Hör ich nicht zu ersten Mal.

Warum Rechner und kein Router? EdgeRouter ER-X ist wohl billiger als jeder PC.
Zum Vergrößern anklicken....

Ich bezweifle, dass dein EdgeRouter sich an nem Proxy anmelden und den Traffic da durch tunneln kann.
 
@Cazawhi: Ich gehe davon aus, dass der Proxy das Gateway ist, und wenn sich der Server daran authentifiziert hat, ist jeder Traffic vom Server legitimiert. Der Proxy sieht ja nicht, dass hinter dem Server ne Armada anderer Clients sitzt.
 
  • Thread Starter Thread Starter
  • #9
You do not have permission to view link please Anmelden or Registrieren
Die Annahme mit dem Proxy = Gateway würd ich nicht direkt bestätigen. Ich schick morgen mal ein Traceroute, aber soweit ich weiß ging meine Anfrage letztes Mal über das Gateway noch drüber und wurde eine Lokale Adresse weiter erst gedropped.

Verständnisfrage: Wenn der Proxy auf dem Gateway sitzt, kann der Rechner sich dann einfach auf dem Proxy anmelden und den Traffic nur noch Richtung Gateway schieben? Ich hätte mir das so ähnlich wie VPN vorgestellt, dass man den Traffic tatsächlich auf einen Dienst leiten muss der auf einem Port des Zielrechners sitzt.
 
Zuletzt bearbeitet:
  • Thread Starter Thread Starter
  • #11
Ihr habt mich alle ein wenig missverstanden, die Hardware ist bereits eingekauft ich habe tatsächlich nur Fragen bezüglich IPTables bzw Linux an sich.
Ich möchte halt wie von Metal_Warrior richtig beschrieben den Traffic auf den Proxy leiten.
 
  • Thread Starter Thread Starter
  • #13
[src=bash]traceroute to google.de (216.58.206.3), 30 hops max, 60 byte packets
1 10.97.0.1 (10.97.0.1) 0.875 ms 1.453 ms 1.742 ms
2 192.168.192.105 (192.168.192.105) 0.578 ms 0.640 ms 0.559 ms
3 * * *[/src]
 
Kann sein, dass ICMP einfach nicht vom Gateway weitergeleitet werden.

Check' mal auf Port 80. Beispielsweise mit [kw]nping --tcp -p 80[/kw].
 
  • Thread Starter Thread Starter
  • #15
[src=bash]~$ sudo nmap -p 80 10.97.0.1

Starting Nmap 7.40 ( https://nmap.org ) at 2018-01-19 09:40 CET
Nmap scan report for 10.97.0.1
Host is up (0.0032s latency).
PORT STATE SERVICE
80/tcp closed http


~$ sudo nmap -p 80 192.168.192.105

Starting Nmap 7.40 ( https://nmap.org ) at 2018-01-19 09:40 CET
Nmap scan report for 192.168.192.105
Host is up (0.0014s latency).
PORT STATE SERVICE
80/tcp filtered http

[/src]
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben