Transparenter Squid (benötige dringende Hilfe)

[lightslayer]

Hallo Leute,

ich muss nächste Woche ein Abschlussprojekt für meine Fachinformatiker-Ausbildung ablegen und habe mich für das Thema "Implementierung eines Proxy Servers in ein bestehendes Netzwerk" entschieden. Eigentlich wollte ich keinen tansparenten Proxy verwenden, doch die Schule wo ich dieses Projekt mache möchte einen.

Ich möchte nun nur noch Ubuntu 8.04 mit Squid als reinen Proxy nehmen und diesen transparent laufen lassen.

Dafür habe ich mir die Wiki von ubuntuusers mal genauer angeschaut und alles hargenau so abgearbeitet, wie es in der Wiki steht.

Link: Squid ? Wiki ? ubuntuusers.de

Habe dementsprechend in der squid.conf den http_port 3128 auf "http_port 3128 transparent" gestellt und squid neugestartet.

Gleich danach habe ich folgende iptables-Regel eingestellt "sudo iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j REDIRECT --to-port 3128".

Mein Problem besteht nun darin, dass wenn ich im Browser unter Netzwerkeinstellungen die IP meines Squids mitsamt dem Port 3128 hinterlege, das ich einbandfrei über den Proxy surfen kann, sobald ich aber die Einstellungen entferne, kommt die Fehlermeldung, das der Name nicht aufgelöst werden kann.

Fehler aus dem Browser: Der Server unter Google konnte nicht gefunden werden.

Mein Aufbau meines Netzwerks:

Router (IP 192.168.2.1)---> Switch --> Proxy IP: 192.168.2.100 Squid-Port: 3128 DNS: 192.168.2.1

Router (IP 192.168.2.1)---> Switch --> ClientIP: 192.168.2.113 Gateway: 192.168.2.100 DNS: 192.168.2.100

Beschreibung: Der Router stellt die Inet-Verbindung her, am Router befindet sich ein Switch, an diesem Switch ist der Proxy und der Client-PC angestöpselt!

Ich denke, das Problem liegt an meinem iptables, wenn ich diese mit "sudo iptables --list" anzeigen lassen möchte, bekomme ich nur leere Listen ausgespuckt, das gleiche, wenn ich per Webmin auf die Iptables zugreife"

Ich hoffe, das ihr mir helfen könnt!

Vielen Dank im Voraus!

[geloescht_LeeFrench]

Hi,

ich habe mir gerade dein Scenario angeschaut und auch die Wiki-Doku.Da steht

Ein transparenten Proxy ist ein Proxyserver der vollkommen im Hintergrund arbeitet und der automatisch über eine iptables Regel alle Internetpakete, die über Port 80 (also http) ins Internet geschickt werden, filtert. Das bedeutet, dass Benutzer im Lan auf ihren Rechnern die Benutzung des Proxyserver nicht erst aktivieren müssen. Jeder Browser, jedes Programm benutzt dadurch zwangsläufig den Proxyserver

Wenn ich das richtig verstanden habe, musst du nichts im Browser eintragen.Du hast das über die .conf geregelt.

Lg

Lee

[lightslayer]

Richtig,

normalerweise sollte man mit der iptables-Regel "sudo iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j REDIRECT --to-port 3128" alles auf den Proxyport umleiten.

Genau das ist mein Problem. Das automatische surfen über den Proxy klappt nicht, nur wenn ich den Proxy expliziet beim Brwoser hinterlege funktioniert dieser.

Das ist der Knackpunkt, wo ich festhänge!

[geloescht_LeeFrench]

Hi,

vielleicht hilft dir das

iptables

Das iptables Tool fuegt Regeln in die Filtertabellen des Kernels ein und loescht andere. Das bedeutet, dass die Regeln, wie immer Du sie aufsetzt, beim Neustart des Rechners verloren sein werden.Um sicherzugehen, dass sie beim naechsten Neustart wieder neu aufgesetzt werden.

Regeln dauerhaft erstellen

iptables-save

[@@@]

Hast du mal in die Logs reingeschaut?

Die Anleitung ist ja für ältere Distributionen erstellt worden, wenn du einen aktuellen Server am laufen hast könnte da einiges durchaus abweichen.

Zudem hat sich die Konfiguration eines transparenten Proxys seit 2.6 etwas verändert also solltest du die Version chekcen.

Generell sollstest du die ganzen zusätzlichen Einstellungen (bzgl. Privacy) zur Diagnose ausschalten.

Außerdem solltest du dir auch gewisse Kenntnisse in iptables aneignen und die einzelnen Bestandteile auch erklären können, da du möglicherweise auch dazu befragt wirst...

Wenn du das einfach nur aus einem Tutorial rauskopiert hast ohne deren Funktion genau erläutern zu können stehst du nämlich ziemlich blöd da (und im Gegensatz zum Kunden kannst du in den meisten Fällen in solch einer Situation den Prüfern nicht irgendeinen Schwachsinn erklären, es sei denn du machst es sehr überzeugend :bimei )

[lightslayer]

Da hast du recht, die Wiki ist für Ubuntu 8.04 und Dapper Dake 6.06.

Da 8.04 LTS immer noch aktuell ist, sollte die Wiki stimmen.

Werde heute noch einmal ein wenig probieren.

Mit iptables habe ich mich auch in den vergangenen Tagen auseinandergesetzt und auch selber Regeln geschrieben, leider alles ohne größeren Erfolg!

[@@@]

Da hast du recht, die Wiki ist für Ubuntu 8.04 und Dapper Dake 6.06.

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

* Ubuntu Gutsy Gibbon 7.10

* Ubuntu Feisty Fawn 7.04

* Ubuntu Dapper Drake 6.06

Also trozdem mal die Squid Version checken

[lightslayer]

Habe das Problem gestern analysiert.

Musste folgende iptables-Regel noch einfügen:

iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j DNAT --to 192.168.2.100:3128.

Nun funktioniert alles, danke für die Hilfe!