Umleitung des WWW-Traffic an einen Proxy-Server
-
normale installation auf einer CF Karte nudelt die auch bald durch, da die Sachen nicht wie im CF System in den Speicher geschrieben würden, sondern immer auf die HDD, sprich CF …
Das wäre es dann bald gewesen... für die Karte :-)
-
Vielen vielen Dank für eure Hilfe;
letzte Frage nun:
Wäre es (theoretisch) möglich,auf Betriebssystemebene ein rudimentäres Squid zu installieren,welches nix anderes macht als www-Traffic transparent an einen Parent weiterzuleiten? Das Squid muss nichts cachen;nix loggen etc. Das Squid-Package müsste auch nicht in der Web-Oberfläche erscheinen. Die Squid.conf würde ich per Hand anpassen. Wenn ja,könnte mir jemand ein entsprechendes Paket zukommen lassen inkl. einer kurzen Installationsbeschreibung?
Nebenher werde ich 2 weitere Sachen testen;
a) ich habe hier noch eine alte 2,5" HD rumliegen;damit würde ich mal eine Vollinstallations von PFSense auf meiner Soekris 4801 testen. Bei Erfolg müsste ich mir nur Gedanken machen,wie ich eine HD in das Soekris-Gehäuse bekomme.
b) Ausserdem habe ich mir mal folgendes Gerät bestellt: http://www.ico.de/details.php/category_path/0_8_83/p_name/L_fterloser_Low_Power_Industrie_PC_1GHz
Ich denke,mit b) dürfte ich sicher zum Ziel kommen.
Wenn gewünscht kann ich ja mal über a) und b) nach dem Tests berichten.
Gruß,
Stalker1896
-
Das mit Deiner squid-config sollte klappen, frage mich aber nicht, wie…
man müsste dem embedded OS sagen, daß es auf die Karte schreiben darf und dann das package installieren, configurieren und gut ist...
Sollte bestimmt jemand wissen, wie das geht... -
Ja,das ist die Frage… Wie bekomme ich das rudimentäre Squid für o.g. Zweck auf mein Embedded-PfSense?
Vielen Dank im Voraus.
Stalker1896
-
Wer von euch kann mir denn helfen, das Squid-Package auf die Embedded-Version von PFSense zu bekommen?
Gruss,
Stalker1896
-
naja… fällt auf embedded etwas schwer... :-) mit packages...
aber folgendes sollte klappen:
transparente Umleitung:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port 80. Save, apply.
Oh, btw, if your proxy is not at port 80 you can use it like this:
Add a portforward at interface OPT2, external adress any (not interface adress), protocol TCP, external port range 80, NAT IP proxy at OPT6, local port proxyport. Save, apply.
Hallo,
geht das auch wenn der Proxy im selben Netz (LAN) wie die Clients ist?
Der Squid würde also auch über die Sense surfen, ob per Rules oder Parent-Proxy wäre egal.Grüße
-
Das könnte evtl. mit einem Trick gehen, der mir gerade so eingefallen ist:
Das Problem ist ja, daß auch der Squid, wenn er sich im LAN befindet wieder an sich selbst geleitet wird, ist also ein Umleitungsloop, der sich dann totläuft.
Was Du mal probieren könntest (geht aber vmtl. nur manuell durch editieren der config.xml), daß Du einen Gatewaypool machst in den Du die IP des Squidservers im LAN steckst. Dann machst Du folgende Firewallregeln (Reihenfolge ist wichtig):
pass protocol tcp source <squidip>, destination any, port HTTP, gateway default
pass protocol tcp source any, destination any, port HTTP, gateway <pool in="" dem="" der="" squid="" steckt="">Bei dem Beispiel muß der Squid dann aber auch auf Port 80 laufen. Übrigens kann man im Transparenten Modus nicht mit Authentifizierung arbeiten, weil der Browser nicht weiß, daß er es mit einem Proxy zu tun hat und dadurch keine Authentifizierung mitschicken kann.Laß mich wissen, ob das funktioniert ;)</pool></squidip>
-
Hallo hoba,
erstmal vielen Dank für die Antwort, ich muss leider etwas genauer nachfragen da es sich um ein Produktivsystem handelt.
Die "Umleitungsloop" war auch meine Befürchtung.Angenommen die Sense hat die IP 192.168.0.1, der Squid die 192.168.0.2. (Falls es das einfacher macht, das gesamte "0er" Netz kann/darf ruhig ohne Umweg über den Proxy surfen, nur andere Subnetze "müssen".)
Was genau schreibe ich in die config.xml und wie mache ich das?
Firewall Regeln:
pass protocol tcp source <192.168.0.2>, destination any, port HTTP(80?), gateway default(192.168.0.1?)
pass protocol tcp source any, destination any, port HTTP(80?), gateway 192.168.0.2Ist das so korrekt? Kann es (leider) erst Montag testen, werde aber sofern ich noch rausfinde was mit der config.xml gemeint ist berichten obs geklappt hat. Authentifizierung ist in meinem Fall nicht notwendig, Topic des Threads passte aber 1:1.
Grüße
-
-
Schön, ich hatte bisher noch keine Zeit das zu testen. Dann sollten wir vielleicht doch wieder freie Gateway IPs definierbar machen im GUI. Mal schauen, wie wir das schön verpacken können :)
-
Das würd es erheblich einfacher und sicherer (in der config vertippen) machen.
Mit einem Hinweis dass man meistens "default" nutzen möchte sollte das OK sein.
Grüße
-
hallo
ich versuche auch verzweifelt sqid über einen "cache_peer" zu leiten dann hab ich dazu auch was gefunden
http://forum.pfsense.org/index.php/topic,4324.0.html
nur schreibt er nicht wo man die zeile einzufügen hat damit es dauerhaft funktioniert