linux-l: firewall & squid

Thomas Knop t.knop at isv-gmbh.de
Fr Feb 18 18:16:46 CET 2000


On, Fre, 18 Feb 2000, Martin Drescher wrote:
> tach!
>  folgendas funktioniert: firewall auf suse-basis, (fast) transparent mit
> proxys, u.a. squid. alles, was auf :80 kommt -> 8080 (squid). nslookup &
> arp tun ueberall das, was sie sollen.
> aber folgendes phaenomen:
> bei ie & ns mit einstellung 'direkt verbunden' quittiert ie 'fehler:
> server oder dns nicht gefunden...', ns zeigt ein message von squid
> 'invalid url' und als url steht nicht etwa 'www.server.box/folder',
> sondern seltsamerweise nur '/folder'.
> dann: einstellung proxy, port 80: beide ok. :-)
Das klingt logisch ;-)
Nehmen wir an, www.server.box hat die ip-nummer 1.2.3.4, und dein 
Proxy die ip-nummer 4.3.2.1
Wenn du in deinem Browser keinen Proxy einschaltest, wird der Browser
eine Verbindung zum Port 80 beim Rechner 1.2.3.4 öffnen und ungefähr 
soetwas abschicke:

GET /folder HTTP/1.0
<... andere header ...>

schaltest du Proxy ein. So wird eine Verbindung auf Port 80 beim Rechner 
4.3.2.1 geöffnet und etwa sowas abgeschickt:

GET www.server.box/folder HTTP/1.0

Die Kurzform: Es sind zwei unterschiedliche Protokolle!
Du benötigs zwei Dinge:
a) Einen Client der mind. HTTP 1.1 spricht und in jeder anfrage im
   Request-Header den Host als Plaintext mitschreib. Das tun sie alle :-) 
ABER
b) Einen Proxy, der so tut als wenn er ein WWW-Server wäre, und diese 
   Header nutzt um den tatsächlichen Host anzusprechen. Halt einen
   "Transparenten"-Proxy.

Das Port-Forwarding ist also nur die halbe Miete. Aber
wenn ich hier richtig mitgelesen habe, gibt es sowas wohl und nennt sich
SSquid.

Gruß
  Thomas 

> atvision online GmbH
Na, sollen da etwa Kunden unbenachrichtigt gezwungen werden einen Proxy zu
benutzen???

--
Thomas Knop               Tel: +49-30-53433408
ISV GmbH Berlin           Fax: +49-30-53433435
Am Treptower Park 75        t.knop at isv-gmbh.de
12435 Berlin            http://www.isv-gmbh.de



Mehr Informationen über die Mailingliste linux-l