Umleitung des WWW-Traffic an einen Proxy-Server
-
Hallo
ich habe heute erstmals pfsense auf meiner Soekris4801 (auf 512 MB CF-Card) installiert;bin von den Moeglichkeiten sehr begeistert. Allerdings,welche Funktionalität mir nun noch fehlt ist folgendes:
ich will den gesamten WWW-Traffic (transparent) an einen Parent-Proxy weitergeben (inkl. Authentification);Beispiel wäre hier IPcop.
Kann man das irgendwie umsetzen?Vielen Dank im Voraus,
Stalker1896
-
Hallo, schaue Dir doch einmal das Squid Package an, dort solltest Du einen parent proxy angeben können.
-
naja… fällt auf embedded etwas schwer... :-) mit packages...
aber folgendes sollte klappen:
transparente Umleitung:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port 80. Save, apply.
Oh, btw, if your proxy is not at port 80 you can use it like this:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port proxyport. Save, apply.
-
Hallo ;-)
erstmal Danke für die beiden Antworten.
@Heiko: An Squid hatte ich auch gedacht,nur bekommt man auf einem Embedded-System eben jenes Paket nicht (ist auch klar,wegen den häufigen Schreib-/Lesevorgängen wäre die CF-Card bald durchgenudelt). Nur in meinem Fall (denke ich) wäre das anders. Ich will überhaupt nichts cachen,sondern nur den WWW-Traffic transparent an einen nicht öffentlichen (deshalb mit Authentifikation) Proxy-Server weiterleiten. Könnte man für diesen Fall nicht das Squid-Package aufbereiten?
@trendchiller: Deine Lösung hört sich gut an;nur was ist in diesem Fall mit der Authentifikation? Der Parent-Proxy ist nicht öffentlich.
Es ist nur noch dieses Problem,was ich lösen muss.
Vielen Vielen Dank im Voraus.
Gruß,
Stalker1896
-
Hallo,
ups, jau hatte ich ganz überlesen, thanks Trendchiller für die Korrektur :)
Läuft die normale Installation mit nem Microdrive im Soekris? Dann wäre das vielleicht noch ne Alternative.. -
Hallo Heiko,
das mit dem Microdrive wäre ja ne geile Idee. Welche Version müsste ich dann auf die Soekris spielen?
Und was passiert,wenn ich eine normale Pfsense-Variante auf eine CF-Karte spielen würde;als Paket Squid auswähle;dieses Squid Paket so wie o.g. an einen Parent Proxy weiterleite und dann die Partitionen als Read-Only mounte?
Ich frage jetzt ein wenig blauäugig;würde das gehen?IPCop als auch der EMBCop machen das;nur aufgrund meiner Bedürfnisse ist Pfsense viel besser geeignet. Und wenn das mit dem Parent-Proxy klappt habe ich zu 100% den Router,den ich brauche.
Vielen Dank.
Gruß,
Stalker1896
-
Hallo,
für die Installation auf dem Microdrive würde ich den aktuellen "normalen" snapshot aus dem releng_1_2 (beta 1.2) nehmen. Wahrscheinlich musste aber das Microdrive über einen CF to IDE Adapter als ad0 (IDE 1-1) in einer anderen Maschine (min. 2 x NiCS) installieren. Ich weiss aber nicht genau, ob der CF Slot im wrap versus Soekris als ad0 angesprochen wird. Wenn das hinhaut, hast Du m.E. eine normale Installation.
Gruß
Heiko -
normale installation auf einer CF Karte nudelt die auch bald durch, da die Sachen nicht wie im CF System in den Speicher geschrieben würden, sondern immer auf die HDD, sprich CF …
Das wäre es dann bald gewesen... für die Karte :-)
-
Vielen vielen Dank für eure Hilfe;
letzte Frage nun:
Wäre es (theoretisch) möglich,auf Betriebssystemebene ein rudimentäres Squid zu installieren,welches nix anderes macht als www-Traffic transparent an einen Parent weiterzuleiten? Das Squid muss nichts cachen;nix loggen etc. Das Squid-Package müsste auch nicht in der Web-Oberfläche erscheinen. Die Squid.conf würde ich per Hand anpassen. Wenn ja,könnte mir jemand ein entsprechendes Paket zukommen lassen inkl. einer kurzen Installationsbeschreibung?
Nebenher werde ich 2 weitere Sachen testen;
a) ich habe hier noch eine alte 2,5" HD rumliegen;damit würde ich mal eine Vollinstallations von PFSense auf meiner Soekris 4801 testen. Bei Erfolg müsste ich mir nur Gedanken machen,wie ich eine HD in das Soekris-Gehäuse bekomme.
b) Ausserdem habe ich mir mal folgendes Gerät bestellt: http://www.ico.de/details.php/category_path/0_8_83/p_name/L_fterloser_Low_Power_Industrie_PC_1GHz
Ich denke,mit b) dürfte ich sicher zum Ziel kommen.
Wenn gewünscht kann ich ja mal über a) und b) nach dem Tests berichten.
Gruß,
Stalker1896
-
Das mit Deiner squid-config sollte klappen, frage mich aber nicht, wie…
man müsste dem embedded OS sagen, daß es auf die Karte schreiben darf und dann das package installieren, configurieren und gut ist...
Sollte bestimmt jemand wissen, wie das geht... -
Ja,das ist die Frage… Wie bekomme ich das rudimentäre Squid für o.g. Zweck auf mein Embedded-PfSense?
Vielen Dank im Voraus.
Stalker1896
-
Wer von euch kann mir denn helfen, das Squid-Package auf die Embedded-Version von PFSense zu bekommen?
Gruss,
Stalker1896
-
naja… fällt auf embedded etwas schwer... :-) mit packages...
aber folgendes sollte klappen:
transparente Umleitung:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port 80. Save, apply.
Oh, btw, if your proxy is not at port 80 you can use it like this:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port proxyport. Save, apply.
Hallo,
geht das auch wenn der Proxy im selben Netz (LAN) wie die Clients ist?
Der Squid würde also auch über die Sense surfen, ob per Rules oder Parent-Proxy wäre egal.Grüße
-
Das könnte evtl. mit einem Trick gehen, der mir gerade so eingefallen ist:
Das Problem ist ja, daß auch der Squid, wenn er sich im LAN befindet wieder an sich selbst geleitet wird, ist also ein Umleitungsloop, der sich dann totläuft.
Was Du mal probieren könntest (geht aber vmtl. nur manuell durch editieren der config.xml), daß Du einen Gatewaypool machst in den Du die IP des Squidservers im LAN steckst. Dann machst Du folgende Firewallregeln (Reihenfolge ist wichtig):
pass protocol tcp source <squidip>, destination any, port HTTP, gateway default
pass protocol tcp source any, destination any, port HTTP, gateway <pool in="" dem="" der="" squid="" steckt="">Bei dem Beispiel muß der Squid dann aber auch auf Port 80 laufen. Übrigens kann man im Transparenten Modus nicht mit Authentifizierung arbeiten, weil der Browser nicht weiß, daß er es mit einem Proxy zu tun hat und dadurch keine Authentifizierung mitschicken kann.Laß mich wissen, ob das funktioniert ;)</pool></squidip>
-
Hallo hoba,
erstmal vielen Dank für die Antwort, ich muss leider etwas genauer nachfragen da es sich um ein Produktivsystem handelt.
Die "Umleitungsloop" war auch meine Befürchtung.Angenommen die Sense hat die IP 192.168.0.1, der Squid die 192.168.0.2. (Falls es das einfacher macht, das gesamte "0er" Netz kann/darf ruhig ohne Umweg über den Proxy surfen, nur andere Subnetze "müssen".)
Was genau schreibe ich in die config.xml und wie mache ich das?
Firewall Regeln:
pass protocol tcp source <192.168.0.2>, destination any, port HTTP(80?), gateway default(192.168.0.1?)
pass protocol tcp source any, destination any, port HTTP(80?), gateway 192.168.0.2Ist das so korrekt? Kann es (leider) erst Montag testen, werde aber sofern ich noch rausfinde was mit der config.xml gemeint ist berichten obs geklappt hat. Authentifizierung ist in meinem Fall nicht notwendig, Topic des Threads passte aber 1:1.
Grüße
-
-
Schön, ich hatte bisher noch keine Zeit das zu testen. Dann sollten wir vielleicht doch wieder freie Gateway IPs definierbar machen im GUI. Mal schauen, wie wir das schön verpacken können :)
-
Das würd es erheblich einfacher und sicherer (in der config vertippen) machen.
Mit einem Hinweis dass man meistens "default" nutzen möchte sollte das OK sein.
Grüße
-
hallo
ich versuche auch verzweifelt sqid über einen "cache_peer" zu leiten dann hab ich dazu auch was gefunden
http://forum.pfsense.org/index.php/topic,4324.0.html
nur schreibt er nicht wo man die zeile einzufügen hat damit es dauerhaft funktioniert