Re: HTTP Proxy oder was?

Am 16.02.2002 um 09:35:01 schrieb Matthias Teege:

Hallo Matthias,

> > Der Proxy muss nicht auf Port 80 laufen. Ferner: Du kannst dem Proxy durchaus
> > erlauben, an externe Rechner auf deren Port 80 zu konnekten und trotzdem jeder-
> > zeit den eigenen Port 80 fuer Anfragen offen zu halten (mir war nicht klar,
> > ob Das Dein Problem sein koennte).
>
> Ja, das ist mein Problem. Mir ist schon klar, daß ich der Proxy auf
> einem anderen Port lauscht oder lauschen kann. Der Proxy ist dann
> aber nicht transparent.

richtig

> Es ist doch, wenn ich das richtig verstanden
> habe, kein Problem den Proxy zu umgehen. Ich ändere einfach die
> Proxy Einstellungen im Browser.

nein. Das geht nur, wenn Du zusaetzlich zum Proxy auch noch forwarding und
NAT auf dem Gateway konfiguriert hast und dazu dann keinen passenden Filter.
Selbst wenn Du direkten IP-Zugang fuer Deine Clients ins Intenet brauchst,
koenntest Du die Umgehung Deines Proxys z.B: wie folgt "verhindern":

ipfw add deny tcp from any to any 80 via xl0
ipfw add allow all from any to any

wobei xl0 mit dem Device Deiner internen Netzwerkkarte zu ersetzen ist.
Deutlich besser waere allerdings, den Filter dann so zu konfigurieren, dass
Du explizit erlaubst, was Du durchlassen moechtest und alles andere verbietest.

Wenn Du einen Proxy betreibst, brauchst Du aber gar keine Moeglichkeit, dass
die Rechner eine direkte Verbindung ins Internet aufbauen kann (genau deshalb
moechtest Du naemlich einen Proxy :).

Sprich, die einfachste und uebliche Loesung waere, den httpd auf Port 80
laufen zu lassen und den Proxy z.B: auf 8080. Da traegst Du den Proxy im
Browser ein und zusaetzlich die IP Deines lokalen Webservers als "lokale"
Addresse, die nicht zum Proxy soll.

Wenn jetzt jemand den Proxy rausnimmt, kann er nur noch Deinen lokalen
Webserver erreichen, alles andere geht ins Leere.

Sollte Dir diese Loesung nicht gefallen da Du sowohl den Webserver, als auch
den Proxy auf Port 80 transparent betreiben moechtest (ja, die Formulierung ist
nicht ganz korrekt :), koennte dir mod_proxy vom Apache helfen.
Vielleicht bietet auch squid eine Moeglichkeit, lokale Adressen an einen
Webserver, der in diesem Fall dann aber nicht auf Port 80 laufen darf,
weiterzuleiten.

> Was ich möchte, ist ein Zugriff auf den lokalen Webserver aus dem
> internen Netz und einen Zugriff auf Webserver im Internet nacht
> gelungener Authentifizierung.

genau das sollte Dir die oben beschriebene, "einfache" Variante bieten.

Gruesse

/ch

-- 
Wieviele Mitarbeiter von Microsoft benoetigt man fuer das auswechseln
einer defekten Gluehbirne? Keine, Microsoft erklaert die Dunkelheit zum
Marktstandart.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message