squid3 ausgehende IP spoofen?

[als8e]

Hallo,

ich bin ein ziemlicher Anfänger, was Debian anbelangt. Daher vorab sorry, falls dies eine blöde Frage sein sollte.

Auf einem aktuellen Debian-System habe ich squid3 installiert. Die squid.conf habe ich soweit abgeändert, dass Rechner aus meinem lokalen Netzwerk -und nur diese- auf den Proxy zugreifen können. So weit, so gut.

Zu Testzwecken würde ich gerne den X-Forwarded-For Header abändern (ähnlich wie in diesem Video gezeigt, aber halt nicht als Firefox-Addon, sondern direkt über squid3 --> https://www.youtube.com/watch?v=OWRLyt38PVo). Anwendungsbeispiel: ich habe einen netflix Account. Über diesen würde ich gerne eine Show abrufen, die nur über netflix Canada verfügbar ist. Dies könnte ich im Browser ganz einfach mit einem entsprechenden Addon tun (z.B. Hola), möchte es aber mit meinem Smartphone in Verbindung mit Chromecast tun.
In diesem Fall verwenden Chromecast und Smartphone squid3 als Proxy. Squid3 tut in diesem Fall so, als würde es als Proxy für eine kanadische IP fungieren, gibt dies gegenüber Netflix an und ich kann mich auf dem Smartphone bei netflix Canada einloggen.

Aufgrund meines Netzwerksetups kommen andere Lösungen (wie eben ein Browseraddon oder die Benutzung anderer Proxys, VPN Server o.Ä.) nicht in Frage. Ich würde es daher gerne über squid3 -ggf. aber auch über ein anderes Programm, was auf Debian läuft- realisieren.

Ist das möglich? Könnt Ihr mir weiterhelfen? Wie gesagt, ich arbeite mich gerade erst in die Materie ein. Über die vorgegebene squid.conf konnte ich nichts Entsprechendes entdecken, aber es kann ja nicht so schwer sein, den X-Forwarded-For Header zu ändern, wenn es auch ganz leicht über ein Browseraddon geht..?

Danke im Voraus für Eure Hilfe.

[als8e]

Keine Ideen? Auch nicht mit anderer Software? Ich finde per Suche nichts Passendes, aber es muss doch machbar sein...

[rendegast]

Das ist illegal.

[als8e]

Wenn überhaupt verstößt es gegen die AGB des jeweiligen Anbieters, nicht aber gegen geltendes Recht. Demnach befindet man sich hier maximal in einer Grauzone. Falls ich falsch liegen sollte, sage mir doch bitte, welches Gesetzt dies verbietet.

Wie dem auch sei.... zurück zum Thema. Lässt sich das realisieren? Wie gesagt, das ist ein Testlauf, ich nenne hier nur ein Anwendungsbeispiel.

[rendegast]

Wenn überhaupt verstößt es gegen die AGB des jeweiligen Anbieters, ...

Wären dennoch Teil des mit netflix abgeschlossenen Vertrages.

5.
c.
Sie dürfen die Filme und Serien auf dem Netflix-Dienst in erster Linie in dem Land ansehen, in welchem Sie Ihr Konto erstellt haben, und nur in geografischen Regionen, in welchen wir unseren Dienst anbieten und für welche wir solche Filme und Serien lizenziert haben. Die zum Ansehen verfügbaren Inhalte können sich je nach Region unterscheiden. Netflix verwendet Technologien, um Ihren geografischen Aufenthaltsort zu verifizieren.

Du versuchst also für Deutschland(?) unlizensierte Inhalte abzurufen.

9.
Geltendes Recht. Diese Nutzungsbedingungen unterliegen den Gesetzen des Landes, in welchem das Unternehmen, das Ihnen den Netflix-Dienst anbietet (wie oben definiert) seinen eingetragenen Firmensitz hat, und werden entsprechend ausgelegt. Diese Bedingungen beschränken keine Verbraucherschutzrechte, die Ihnen gemäß den Gesetzen in Ihrem Rechtsgebiet zustehen.

Würde Dein Vorhaben hierunter fallen?

[als8e]

Wir gehen hier doch voll am Thema vorbei.

Meinetwegen erläutere ich es trotzdem gerne. Ich versuche nicht, für Deutschland unlizensierte Inhalte abzurufen. Es geht überhaupt nicht um Netflix, dies war lediglich ein Beispiel. Ich will testweise (!) ein proof of concept erstellen.

Wenn es mir wirklich darum gehen würde, irgendwelche Videoinhalte zu streamen, würde ich auf die im ersten Posting genannten Browser-Addons zurückgreifen und könnte mir die Arbeit sparen, so etwas von Hand einzurichten.

[Dimejo]

Nun, theoretisch sollte es reichen den Header einfach zu löschen.

Code: Alles auswählen

forwarded_for delete
via off

Unter Umständen ist es auch noch notwendig weitere Header mit Hilfe von header_access zu deaktivieren.

[als8e]

Danke für das Input, ich werde das nachher mal ausprobieren.

Aber wenn gar kein Header angezeigt wird, kann die angesprochene Seite (der Einfachheit halber bleiben wir mal beim Beispiel netflix) ja nicht wissen, ob es mir nun die australische, kanadische oder sonstwelche Seite zur Verfügung stellen soll...?

[Dimejo]

Aber wenn gar kein Header angezeigt wird, kann die angesprochene Seite (der Einfachheit halber bleiben wir mal beim Beispiel netflix) ja nicht wissen, ob es mir nun die australische, kanadische oder sonstwelche Seite zur Verfügung stellen soll...?

Da hast Du Recht. Ich bin Deinen Beitrag nur überflogen, und irgendwie davon ausgegangen, dass Dein Server eine kanadische IP hat. Ich glaube nicht, dass es Deinen Vorstellungen entsprechend mit Squid möglich ist die Quell-IP beliebig zu manipulieren.

[als8e]

Schade. Irgendwie finde ich nichts, was dies kann.

Im verlinkten Video geht es doch aber so einfach. Man täuscht per modifiziertem X-Forward-For Header vor, selbst als Proxy für eine z.B. kanadische IP zu fungieren. Der Server erkennt die europäische IP, sieht dann aber, dass diese nur als Proxy für (in diesem Fall) eine kanadische IP fungiert und zeigt die INhalte, die die eu IP sonst nicht sehen könnte, an.

Das muss auch nicht zwangsläufig mit squid3 geschehen, solange es als Proxyserver unter Debian eingerichtet werden kann. Bin auch über alternative Ideen dankbar.

[als8e]

Hier ist das auch noch mal in Kurz beschrieben
http://lifehacker.com/5583515/access-hu ... oxy-server

[Dimejo]

Das muss auch nicht zwangsläufig mit squid3 geschehen, solange es als Proxyserver unter Debian eingerichtet werden kann. Bin auch über alternative Ideen dankbar.

Mit tinyproxy sollte das möglich sein.

[als8e]

Tinyproxy lies sich problemlos einrichten; wie ich die ausländische IP vorgebe, ist mir aber nicht nachvollziehbar. In den Informationen der tinyproxy.conf konnte ich nichts Passendes finden. Ich recherchiere gerade parallel, bin aber weiterhin über jeden Tippd ankbar.

[Dimejo]

http://linux.die.net/man/5/tinyproxy.conf

Code: Alles auswählen

AddHeader "X-Forwarded-For" "1.2.3.4"

[als8e]

Danke für den Tip. Auf myip.is etc. funktioniert das problemlos. Die IP und auch das zugehörige Land wird erkannt.

Dass https-Seiten so evtl. nicht funktionieren (z.B. netflix) dachte ich mir schon; normale http-Seiten (z.B. Hulu) funktionieren aber trotz der gespooften IP nicht. Kann man das irgendwie fixen?

[Dimejo]

Danke für den Tip. Auf myip.is etc. funktioniert das problemlos. Die IP und auch das zugehörige Land wird erkannt.

Dass https-Seiten so evtl. nicht funktionieren (z.B. netflix) dachte ich mir schon; normale http-Seiten (z.B. Hulu) funktionieren aber trotz der gespooften IP nicht. Kann man das irgendwie fixen?

Ich dachte es ginge nicht um unlizensierte Inhalte, und Netflix wäre nur ein Beispiel?

[als8e]

Japp. Ich bleibe aber bei den genannten Beispielen und nenne hier nicht die Seiten mit geoblock (ohne lizensierte Inhalte), um die es mir eigentlich geht. Netflix und Hulu gehen da als Beispiel einfacher und bringen vielleicht auch anderen Leuten was (wenn es klappt), anstatt jetzt auf spezifische URLs einzugehen.

[tomi89]

Squid kann natürlich keine HTTPS Inhalte Verändern.

Außer du lässt es dir selbst ein gefaktes Zertifikat unterschieben, dann müsstest du aber auf eine mögliche Sicherheitsmeldung vom Browser bezüglich Problemem mit dem echten Zertifikate verzichten.

Falls du den Iceweasel Browser benutzt kannst du einfach das Addon ModifyHeaders benutzen. Für Chromium wird sicherlich auch ein passendes Addon existieren.

Ich hoffe dir ist bewusst, dass ein zusätzlicher Header den Browserfingerprint einzigartiger macht.

[als8e]

In diesem speziellen Fall geht es eben nicht nur um den Browser (dann würde ein Addon ausreichen), sondern beispielsweise auch um Tablets und Smartphones im Netzwerk. Daher sollte das alles über squid laufen (bzw. halt ein alternatives Programm).

Komischerweise funktioniert die Abänderung des Headers ja wunderbar (auch unter z.B. whatismyip.com wird das entsprechende Land angezeigt), Seiten mit geolocation Filter springen im Gegensatz aber nicht darauf an.