Vorraussetzung für transparenten Squid Proxy

[Neo459]

Hallo,
da mir das ständige Einstellen von den Proxydaten in Firefox etc. besonders auf Laptops langsam auf die Nerven geht, und man auch manchmal nicht sofort weiß, ob man überhaupt über den Squid surft, wollte ich diesen transparent einstellen.
Dann kann bzw. muss ich den Server als Router einstellen und kann selbst für QoS sorgen, wie mir in einem anderen Thread erklärt wurde (Danke nochmal!)

Bevor ich jetzt aber anfange iptables etc. zu verändern:

Was sollte/muss ich an meinem Netzwerk verändern, damit das alles so läuft wie ich will?

Ich hatte mal eine kleine Skizze angefertigt, die den Aufbau des Netzwerkes veranschaulicht.

http://s14.directupload.net/images/140901/jurjh7d5.jpg

Info: Eine 2. Netzwerkkarte für den Server ist natürlich schon eingeplant, hat im Moment nur eine drin.

Falls ich noch eine Info vergessen habe, schreibt es bitte, dann trag ich das nach. BEi der 7170 ist natürlich auch WLAN Roaming aktiviert.
Bin mir sehr unsicher gewesen, wie das mit dem Umrouten der Pakete funktionieren soll, wenn die Clients sich ja bei der Fritzbox anmelden, die im Netzwerk ja VOR dem Server liegt. Die bekämen ja dennoch direkten Internetzugang

Vielen Dank für eure Hilfe!!

[Hosi]

Der Proxy muss nicht zwingend auf dem Router/Gateway laufen. Man kann das auch alles per NAT auf eine squid-Box umbiegen. Das kann z,B. erforderlich sein, wenn eine FritzBox das Gateway ist und rein rechentechnisch keinen Proxy verkraftet.

Es ist allerdings bedeutend schöner, wenn der TransProxy und das Gateway auf dem gleichen Gerät laufen. Dann sieht man, welche IP-Adresse welche URL aufgerufen hat. Außerdem macht es die Firewallregeln ein wenig einfacher.

Was Deine Skizze angeht: Du musst auf der FritzBox 7270 die Pakete per iptables abfangen und an die squid-Box weiterreichen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -s ! debian7 -p tcp --dport 80 -j DNAT --to debian7:3128
iptables -t nat -A POSTROUTING -s local-network -d squid-box -j SNAT --to 192.168.178.1
iptables -A FORWARD -s 192.168.1780/24 -d debian7 -p tcp --dport 3128 -j ACCEPT

Die 2te Regel ist notwendig, da sonst die Antwort-Pakete an die anfragenden Clients vom Proxy kommen und die sich dann wundern, was das soll. Über das SNAT kommen die Pakete von Proxy wieder an die FritzBox und dann an den Client. Nachteil ist wie gesagt: für den Proxy kommen alle Anfragen von der 192.168.178.1

[Neo459]

Danke für deine Antwort!

Ich glaub Die Variante wird mit den anstehenden Regeln für qos schwer wie du schon meintest, da ich manche PCs bevorzugen wollte. Bei nur einer eingehenden IP wär das ja wohl nicht mehr machbar.

Gibt es auch eine Möglichkeit, wie ich die Fritzbox aus allem raushalten kann, damit alles über den Server läuft? Der macht im Netzwerk sowieso schon fast alles an Arbeit ausser eben den Sachen, die im Moment die Fritzbox noch machen kann.

Will keinesfalls undankbar wirken:D Aber die FB ist so schon immer über 80% ausgelastet laut Anzeige und ich fürchte da Einbußen.

Ps: geht das überhaupt ohne neue Firmware mit iptables auf der fritzbox?

[Neo459]

Statt den iptables kann ich doch auch die statische route in der fritzbox selbst eintragen oder?

Der Server hat dann mit 2 lan Karten Die Routing Funktion übernommen und bekommt dann sowieso den ganzen traffic.

Oder irre ich mich da?