Proxy - Senza intervenire sui Client

cagnaluia · 10-12-2008, 09:30

Ciao,

leggevo questi giorni sull installazione e configurazione di macchine linux + proxy (squid e dansguardian nello specifico...).
Ma tutte fanno riferimento al fatto di dover sistemare le configurazioni sul browser per impostare la porta e l'ip di chi fa da proxy.

Come posso fare per omettere queste info, che sia ovviamente tutto di default, senza intervenire in nessun modo sui client.

un DHCP gia mi indicherebbe la macchina linux come GW... fine.

DigitalKiller · 10-12-2008, 10:18

Quote:

Originariamente inviato da cagnaluia

Ciao,

leggevo questi giorni sull installazione e configurazione di macchine linux + proxy (squid e dansguardian nello specifico...).
Ma tutte fanno riferimento al fatto di dover sistemare le configurazioni sul browser per impostare la porta e l'ip di chi fa da proxy.

Come posso fare per omettere queste info, che sia ovviamente tutto di default, senza intervenire in nessun modo sui client.

un DHCP gia mi indicherebbe la macchina linux come GW... fine.

Quello che cerchi è un transparent proxy! Si tratta in pratica di un server (con squid, dansguardian, ecc) installato tra router e switch di rete (dev'essere quindi dotato di due schede di rete) e configurato in modo tale che tutte le richieste ricevute sulla porta 80 vengano girate verso la porta di squid (o dansguardian).
Questo in parole molto ma molto semplici

cagnaluia · 10-12-2008, 13:41

si, penso di si...

ma... l'intervento va fatto sulla config di squid? dove?

ho gia un PC con due schede di rete... ma nn saprei come procedere..

leuzr0x · 10-12-2008, 14:43

Suppongo sia sufficiente usare iptables con redirect.

DigitalKiller · 10-12-2008, 15:21

Quote:

Originariamente inviato da cagnaluia

si, penso di si...

ma... l'intervento va fatto sulla config di squid? dove?

ho gia un PC con due schede di rete... ma nn saprei come procedere..

Le due schede di rete devono essere configurate in modo tale che puntino una verso il router e l'altra verso la lan. Fatto questo, tramite iptables, inoltri tutti i pacchetti ricevuti sulla porta 80 da eth1 (l'interfaccia della lan) verso la porta 3128 (quella di squid) che, a sua volta, li smisterà verso eth0 (l'interfaccia che punta al router).
Nel file di configurazione di squid, devi solo indicare di agire come trasnparent proxy, aggiungendo la direttiva

Codice:

http_port 3128 transparent

fbcyborg · 06-05-2009, 16:44

Salve,

cercando guide in merito al problema che sto per esporvi, ho trovato questo post. Spero che qualcuno possa darmi una mano.

Ho un server Gentoo con squid+dansguardian+iptables, e nonostante ci siano diverse guide in giro ancora non ne sono venuto a capo.

Prima necessità: far funzionare squid in transparent mode. Solo in seguito vorrei che funzionasse anche dansguardian. Vorrei quindi andare per passi.

Premetto che la mia situazione è la seguente:
eth1: indirizzo IP acquisito da router/modem tramite DHCP 192.168.1.104.
Utilizzando questa interfaccia accedo a internet.

eth0: indirizzo IP fisso: 10.0.0.1/8.
Sul server c'è installato un server DHCP che rilascia indirizzi IP sui client che ne fanno richiesta tramite eth0, e qui funziona tutto.

Ora il problema è che anche avendo configurato (evidentemente male) squid, non riesco a navigare dai client del tipo 10.0.0.X.
Vorrei appunto che non fosse necessario configurare l'utilizzo di alcun proxy nei rispettivi browser.

Quello che non capisco è se si debba creare un bridge fra eth0 e eth1, o fare qualcos'altro.
Per quanto riguarda iptables, sono alle prime armi, quindi sto cercando anche qualche direttiva da parte vostra, per favore.

Vi ringrazio in anticipo se potrete darmi una mano.

absinth84 · 11-05-2009, 18:20

Prova a usare pfsense è una distro firewall basata su freebsd gestibile da interfaccia web con la possibilità di installare squid e squid guardian con la possibilità di abilitare trasparent proxy, molto semplice da configurare e richiede un misero hardware

fbcyborg · 11-05-2009, 18:26

Grazie ma non posso!
Altrimenti per firewall avrei messo ipcop.

Comunque dopo vari smanettamenti ho fatto in modo di redirigere tutte le richieste sulla porta 80 del server, verso la 3128. Così la navigazione avviene via proxy in modo trasparente ai client. Però vorrei poter filtrare anche le pagine https, nel senso che se volessi impedire l'accesso ad un determinato sito https, vorrei poterlo fare, tramite squidguard.

Ma siccome non riesco a far andare https dietro squid.. non so come fare, per ora.

cagnaluia · 11-05-2009, 18:52

Quote:

Originariamente inviato da DigitalKiller

Le due schede di rete devono essere configurate in modo tale che puntino una verso il router e l'altra verso la lan. Fatto questo, tramite iptables, inoltri tutti i pacchetti ricevuti sulla porta 80 da eth1 (l'interfaccia della lan) verso la porta 3128 (quella di squid) che, a sua volta, li smisterà verso eth0 (l'interfaccia che punta al router).
Nel file di configurazione di squid, devi solo indicare di agire come trasnparent proxy, aggiungendo la direttiva

Codice:

http_port 3128 transparent

domanda: e per tutti gli altri pacchetti? intendo pop3, smtp, telnet, rd, etcetc.. . come imposto una regola: passa tutto il resto dall altra parte? oppure analizza anche il resto (loggalo) e poi fallo passare?

fbcyborg · 11-05-2009, 18:57

Io ho risolto così:
abilito il nat tramite iptables e ip_forward lo metto a 1 fisso.
Poi le richieste sulla porta 80 le inoltro alla 3128. Così tutto il traffico http passa sul filtro di squid(Guard).
Quindi di conseguenza funziona anche tutto il resto, pop3, smtp e quant'altro.
Ora vorrei filtrare anche https ma non so come fare... redirigo il traffico sulla 443 verso la 3128, e poi??? So già che https non passa su squid! Anche se ho messo qualche impostazione che in teoria dovrebbe farlo passare (e non cachare).

DigitalKiller · 12-05-2009, 08:44

Quote:

Originariamente inviato da cagnaluia

domanda: e per tutti gli altri pacchetti? intendo pop3, smtp, telnet, rd, etcetc.. . come imposto una regola: passa tutto il resto dall altra parte? oppure analizza anche il resto (loggalo) e poi fallo passare?

Squid filtra solo il traffico http; per tutti gli altri protocolli dovrebbero esserci dei proxy specifici. In ufficio, ad esempio, sempre sulla macchina che mi fa da proxy, ho installato p3scan, un proxy pop3 che filtra la posta in ingresso

fbcyborg · 12-05-2009, 09:09

E a che scopo si filtra la posta in ingresso?
Antispam?

Invece per https? Come fai?

DigitalKiller · 12-05-2009, 10:17

Quote:

Originariamente inviato da fbcyborg

E a che scopo si filtra la posta in ingresso?
Antispam?

Invece per https? Come fai?

Si, utilizzo p3scan per passare la posta in ingresso a spamassassin ed eliminare tutto lo spam.
Le connessioni https, invece, al momento non vengono loggate in quanto, finora, non si è presentata l'esigenza

fbcyborg · 12-05-2009, 10:20

Il fatto è che vorrei usare squidguard per poter eventualmente bloccare siti https.

Per caso hai una lista di regole iptables da potermi fornire per quanto riguarda i blocchi delle porte più comuni, per impedire chat e quanto possa essere di più inutile in ambito lavorativo?

DigitalKiller · 12-05-2009, 10:57

Quote:

Originariamente inviato da fbcyborg

Il fatto è che vorrei usare squidguard per poter eventualmente bloccare siti https.

Per caso hai una lista di regole iptables da potermi fornire per quanto riguarda i blocchi delle porte più comuni, per impedire chat e quanto possa essere di più inutile in ambito lavorativo?

Io ho fatto una cosa simile in alcuni negozi dove ho attivato una linea adsl.
Ho installato squid e configurato in modo tale che blocchi la porta 80 e permetta l'accesso solo a determinati siti memorizzati in un file di testo.
Non ho mai provato, ma credo che una cosa simile si potrebbe fare anche con https.
Poi magari, potresti installare dansguardian per bloccare l'accesso a determinati siti in blacklist e per bloccare il download di determinati file.

Riguardo le chat, ti basta una semplice ricerca su google.

fbcyborg · 12-05-2009, 11:15

Grazie.

Dansguardian l'ho abbandonato per squidguard.
Con squidGuard ho adottato una politica inversa, invece di definire i siti da poter visitare definisco quelli bloccati, grazie anche a delle blacklist già pronte e scaricabili.

DigitalKiller · 12-05-2009, 11:28

Quote:

Originariamente inviato da fbcyborg

Grazie.

Dansguardian l'ho abbandonato per squidguard.
Con squidGuard ho adottato una politica inversa, invece di definire i siti da poter visitare definisco quelli bloccati, grazie anche a delle blacklist già pronte e scaricabili.

Si, naturalmente il tutto dipende dal numero di siti da abilitare/disabilitare. Dato che io dovevo bloccare tutti i siti ho optato per la soluzione opposta alla tua

fbcyborg · 12-05-2009, 11:57

Secondo te, questa lista di comandi iptables è ancora valida?

DigitalKiller · 12-05-2009, 12:54

Quote:

Originariamente inviato da fbcyborg

Secondo te, questa lista di comandi iptables è ancora valida?

Non ne ho idea

La discussione è datata 2003, mi sembra un po' vecchiotta. Se non l'hai già fatto, prova ad analizzare il traffico generato da msn & co. tramite iptraf

fbcyborg · 12-05-2009, 12:54

Il fatto è che non ho un account msn e non ho nemmeno il tempo di provare tutti i programmi di chat della terra!

10-12-2008, 09:30	#1
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10848	Proxy - Senza intervenire sui Client Ciao, leggevo questi giorni sull installazione e configurazione di macchine linux + proxy (squid e dansguardian nello specifico...). Ma tutte fanno riferimento al fatto di dover sistemare le configurazioni sul browser per impostare la porta e l'ip di chi fa da proxy. Come posso fare per omettere queste info, che sia ovviamente tutto di default, senza intervenire in nessun modo sui client. un DHCP gia mi indicherebbe la macchina linux come GW... fine. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

10-12-2008, 13:41	#3
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10848	si, penso di si... ma... l'intervento va fatto sulla config di squid? dove? ho gia un PC con due schede di rete... ma nn saprei come procedere.. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

06-05-2009, 16:44	#6
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Salve, cercando guide in merito al problema che sto per esporvi, ho trovato questo post. Spero che qualcuno possa darmi una mano. Ho un server Gentoo con squid+dansguardian+iptables, e nonostante ci siano diverse guide in giro ancora non ne sono venuto a capo. Prima necessità: far funzionare squid in transparent mode. Solo in seguito vorrei che funzionasse anche dansguardian. Vorrei quindi andare per passi. Premetto che la mia situazione è la seguente: eth1: indirizzo IP acquisito da router/modem tramite DHCP 192.168.1.104. Utilizzando questa interfaccia accedo a internet. eth0: indirizzo IP fisso: 10.0.0.1/8. Sul server c'è installato un server DHCP che rilascia indirizzi IP sui client che ne fanno richiesta tramite eth0, e qui funziona tutto. Ora il problema è che anche avendo configurato (evidentemente male) squid, non riesco a navigare dai client del tipo 10.0.0.X. Vorrei appunto che non fosse necessario configurare l'utilizzo di alcun proxy nei rispettivi browser. Quello che non capisco è se si debba creare un bridge fra eth0 e eth1, o fare qualcos'altro. Per quanto riguarda iptables, sono alle prime armi, quindi sto cercando anche qualche direttiva da parte vostra, per favore. Vi ringrazio in anticipo se potrete darmi una mano. __________________ ^ThE CyBoRg^

11-05-2009, 18:26	#8
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Grazie ma non posso! Altrimenti per firewall avrei messo ipcop. Comunque dopo vari smanettamenti ho fatto in modo di redirigere tutte le richieste sulla porta 80 del server, verso la 3128. Così la navigazione avviene via proxy in modo trasparente ai client. Però vorrei poter filtrare anche le pagine https, nel senso che se volessi impedire l'accesso ad un determinato sito https, vorrei poterlo fare, tramite squidguard. Ma siccome non riesco a far andare https dietro squid.. non so come fare, per ora. __________________ ^ThE CyBoRg^

11-05-2009, 18:57	#10
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Io ho risolto così: abilito il nat tramite iptables e ip_forward lo metto a 1 fisso. Poi le richieste sulla porta 80 le inoltro alla 3128. Così tutto il traffico http passa sul filtro di squid(Guard). Quindi di conseguenza funziona anche tutto il resto, pop3, smtp e quant'altro. Ora vorrei filtrare anche https ma non so come fare... redirigo il traffico sulla 443 verso la 3128, e poi??? So già che https non passa su squid! Anche se ho messo qualche impostazione che in teoria dovrebbe farlo passare (e non cachare). __________________ ^ThE CyBoRg^

10-12-2008, 14:43	#4
leuzr0x Member Iscritto dal: Nov 2007 Città: Ginevra Messaggi: 256	Suppongo sia sufficiente usare iptables con redirect.

11-05-2009, 18:20	#7
absinth84 Junior Member Iscritto dal: Apr 2009 Messaggi: 15	Prova a usare pfsense è una distro firewall basata su freebsd gestibile da interfaccia web con la possibilità di installare squid e squid guardian con la possibilità di abilitare trasparent proxy, molto semplice da configurare e richiede un misero hardware

12-05-2009, 09:09	#12
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	E a che scopo si filtra la posta in ingresso? Antispam? Invece per https? Come fai? __________________ ^ThE CyBoRg^

12-05-2009, 10:20	#14
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Il fatto è che vorrei usare squidguard per poter eventualmente bloccare siti https. Per caso hai una lista di regole iptables da potermi fornire per quanto riguarda i blocchi delle porte più comuni, per impedire chat e quanto possa essere di più inutile in ambito lavorativo? __________________ ^ThE CyBoRg^

12-05-2009, 11:15	#16
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Grazie. Dansguardian l'ho abbandonato per squidguard. Con squidGuard ho adottato una politica inversa, invece di definire i siti da poter visitare definisco quelli bloccati, grazie anche a delle blacklist già pronte e scaricabili. __________________ ^ThE CyBoRg^

12-05-2009, 11:57	#18
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Secondo te, questa lista di comandi iptables è ancora valida? __________________ ^ThE CyBoRg^

12-05-2009, 12:54	#20
fbcyborg Senior Member Iscritto dal: Jan 2004 Città: ROMA Messaggi: 2055	Il fatto è che non ho un account msn e non ho nemmeno il tempo di provare tutti i programmi di chat della terra! __________________ ^ThE CyBoRg^

Strumenti
Mostra una versione stampabile Invia questa pagina per email