© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Clemens Hermann <haribeau(at)gmx.de> wrote:
> Am 16.02.2002 um 09:35:01 schrieb Matthias Teege:
> > Es ist doch, wenn ich das richtig verstanden
> > habe, kein Problem den Proxy zu umgehen. Ich ändere einfach die
> > Proxy Einstellungen im Browser.
>
> nein. Das geht nur, wenn Du zusaetzlich zum Proxy auch noch forwarding und
> NAT auf dem Gateway konfiguriert hast und dazu dann keinen passenden Filter.
> Selbst wenn Du direkten IP-Zugang fuer Deine Clients ins Intenet brauchst,
> koenntest Du die Umgehung Deines Proxys z.B: wie folgt "verhindern":
>
> ipfw add deny tcp from any to any 80 via xl0
> ipfw add allow all from any to any
Wobei man dann natürlich immer noch den Proxy umgehen kann;
man muß ja nur einen Proxy außerhalb des LANs verwenden,
der nicht auf Port 80 sitzt. Es gibt diverse »offene«
Proxies im Internet.
Die beste Lösung (wie Clemens auch erwähnte) ist natürlich,
auf dem Gateway kein IP-Forwarding oder NAT zu machen, son-
dern sämtlichen Traffic, der ins Internet gehen dürfen
soll, über Application-Level-Gateways (sprich: Proxies) ab-
zuwickeln.
Dann ist es auch völlig trivial aufzusetzen: Der interne
Webserver sitzt einfach auf Port 80 am internen Interface
des Gateways, der Proxy lauscht auf irgendeinem anderen
Port (8081 oder was auch immer). Die Clients im Netz
stellen bei sich den Proxy ein, das ist alles. (Optional
können sie auch konfigurieren, für den internen Webserver
den Proxy zu umgehen, das dürfte aber nicht notwendig sein,
denn der Proxy sollte sinnvollerweise die entsprechenden
Anfragen auch an den lokalen Webserver weiterleiten kön-
nen.)
Du kannst natürlich auch den Proxy so aufsetzen, daß er
transparent ist (wird z.B. vom Squid unterstützt). Dann
müssen die Clients keinerlei Proxy aufsetzen, aber alle
Anfragen an Port 80 gehen trotzdem erstmal an Deinen Proxy.
Die Clients merken nichts davon. Hat allerdings den Nach-
teil, daß es nicht bei Web-Servern wirkt, die nicht Port 80
verwenden.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 16 Feb 2002 - 16:32:39 CET