FreeBSD als reiner Proxy Server in der DMZ mit einer NIC

[Hermez]

Hallo zusammen,

bin hier von einem IIS-Proxy ziemlich angefressen und möchte mir daher einen eigenen Proxy in die DMZ stellen. Dachte dabei auch schon an Netboz http://www.netboz.org. Da die Infrastruktur bereits mit Firewalls (WAN, DMZ sowie LAN) und Routern vorgegeben ist, brauche ich lediglich einen reinen Proxy mit nur einer NIC. Netboz wäre hierfür vom Gesamtkonzept dann doch unpassend und außerdem scheint das Projekt nicht mehr ganz lebendig zu sein (schade). Mein Rechner im LAN hätte dann die BSD-Büchse als default proxy. Aus Sicht des BSD-Proxies würde das dann wie folgt aussehen:

1. Traffic wird aus dem privaten Netz über LAN_NIC & DMZ_NIC an BSD Proxy (Squid???) weitergereicht.
2. Anschließend schickt der BSD-Proxy den Traffic über eth0 wieder zurück an die DMZ_NIC. Die Firewall leitet den request dann abschließend über WAN_NIC in's Internet.

Im übrigen sollen folgende Services über den Proxy laufen:

- http/https
- IRC
- ICQ
- MSN Messenger
- Aktives FTP
- SSH nach draußen (wenn möglich)
- VNC

Dazu folgende Fragen:
- Gibt es für den beschriebenen Zweck schon was Fertiges?
- Welchen Proxy Server empfiehlt Ihr (Squid???)?
- Sonstige Tipps und Hinweise?

Im voraus schonmal herzlichen Dank für Eure Tipps.

Grüß,

H.

 

[Bummibaer]

Hoi,

also erstmal würde ich mir Gedanken machen wozu Du überhaupt einen Proxy möchtest bzw. ob Du überhaupt einen brauchst.

Falls Du zwingend einen möchtest:
überleg Dir was durch den Proxy zwingend soll und was nicht. Eins ist jedoch klar, den gesamten Traffic durch nen Proxy zu jagen der alles das kann, wie von Dir aufgelistet, geht mit nur einem Proxy Daemon nicht.

Als http/https/ftp Proxy würde ich zu Squid raten, evtl. sogar als transparenten Proxy, je nachdem ob Du den überall extra eintragen möchtest oder nicht.

Bisher seh ich leider jedoch nicht wirklich den Sinn warum hier Proxys zum Einsatz kommen sollen und kein reines NAT / FW Konzept.

z.B. so:

Gruß Bummibär

 

[ZerBEruZ]

tach Hermez

Hallo zusammen,

bin hier von einem IIS-Proxy ziemlich angefressen und möchte mir daher einen eigenen Proxy in die DMZ stellen.

noch ein proxy zum vorhandenen proxy ? kann es sein das der IIS-Proxy (vermutlich MS Proxy 2.0 oder ISA-Server 2000) einfach gewisse verbote hat ?

Da die Infrastruktur bereits mit Firewalls (WAN, DMZ sowie LAN) und Routern vorgegeben ist, brauche ich lediglich einen reinen Proxy mit nur einer NIC.

die konfiguration ist vorgegeben ? wie willst du dann die vorhandene "FireWall" anpassen damit sie mit deinem proxy redet ?

Mein Rechner im LAN hätte dann die BSD-Büchse als default proxy. Aus Sicht des BSD-Proxies würde das dann wie folgt aussehen:

glaubst du im ernst der admin dieses netzes lässt es zu das jemand seine konfiguration umgeht ausser du bist es selber ?

1. Traffic wird aus dem privaten Netz über LAN_NIC & DMZ_NIC an BSD Proxy (Squid???) weitergereicht.
2. Anschließend schickt der BSD-Proxy den Traffic über eth0 wieder zurück an die DMZ_NIC. Die Firewall leitet den request dann abschließend über WAN_NIC in's Internet.

zu 1. siehe antwort bei "konfiguration ist vorgegeben"
zu 2. siehe 1.

Im übrigen sollen folgende Services über den Proxy laufen:

- http/https
- IRC
- ICQ
- MSN Messenger
- Aktives FTP
- SSH nach draußen (wenn möglich)
- VNC

Dazu folgende Fragen:
- Gibt es für den beschriebenen Zweck schon was Fertiges?
- Welchen Proxy Server empfiehlt Ihr (Squid???)?
- Sonstige Tipps und Hinweise?

zum thema services solltest du mal nachschauen welcher überhaupt proxy-tauglich ist und zu den fragen:
-was fertiges ? -> in den meisten fällen "NEIN"; das bedeutet suchen und ausprobieren
-empfehlen ? -> siehe Bummibär, NAT sollte für deine zwecke reichen
- tipps/hints ? -> beantworte meine fragen und denke über deine antworten nach

wir lesen uns

 

[marty]

Ne Möglichkeit wäre es, für Web/FTP Squid einzusetzen und den Rest über einen SOCKS Server laufen zu lassen. Einen SOCKS Server für *bsd gibt es bestimmt.

Anderseits frage ich mich gerade: ist das bei dir dein privates Netz oder das einer Firma? Wenn Firma, dann sollte man ICQ, MSN, IRC und so weiter meiner Meinung nach überhaupt nicht zulassen.

Achja, ICQ geht auch über http meines Wissens nach, kannst du also über einen Proxy betreiben.
Für IRC gibt es dann auch noch dircproxy oder tircproxy, geht wunderbar.

marty

 

[Hermez]

Hi Bummibaer,

Die Firewall ist ja ein reiner Paketfilter, was bedeutet, daß die Verbindung letztendlich zwischen dem echten Client (LAN) und dem echten Server (WAN) aufgebaut wird. Und da es sich hier um ein Firmennetzwerk handelt, ist mir eine "direkte" Verbindung nach draußen doch zu heiß. Mit einem zusätzlichen Proxy dazwischen läßt es sich ruhiger schlafen.

Daß nicht alle von mir gewünschten Protokolle von einem einzigen Proxy (Squid?) bewältigt werden können, dachte ich mir schon. Anyway. HTTP, HTTPS sowie FTP werden schonmal vom Squid abgefackelt. VNC und SSH "nur" über die Firewall laufen zu lassen ist ok, da es nur sporadische Verbindungen sind.

Bei den Messengerdiensten würde ich mich mit einem Proxy wesentlich wohler fühlen, da es Verbindungen sind, die über längere Zeit aufrecht erhalten werden.

Noch 'ne Anmerkung zu MSN und ICQ. Die Original Clients von MSN und ICQ harmonieren tadellos mit dem MS ISA-Server 200?. Mit den Clients Miranda (Windows) oder IRSSI (Linux) sieht die Sache wiederum nicht so rosig aus. Von zehn Verbindungsversuchen zu ICQ, ist mit Miranda in der Regel nur einer erfolgreich und MSN scheitert ganz. Angeblich versucht Miranda die Verbindung zu MSN über einen unzulässigen SSL-Port aufzubauen, weswegen der Request abgewiesen wird. Und noch weiter im ISA Proxy zu debuggen
ist mir einfach zu blöd.

Daher meine ursprüngliche Frage, was als Proxy für Messangerdienste in Frage kommt. Mehrere unterschiedliche Serverdienste zu administrieren ist kein Hindernis.

Beste Grüße,

H.

P.S.@Marty: Das ist doch 'ne Antwort. Werde mir dann mal die beiden IRC-Proxies anschauen. Danke!