Hallo,
ich beschäftige mich gerade mit der Absicherung verschiedener lokaler Netze, diese sollen ein und den selben Proxy verwenden. Leider findet man dazu im Netz eher wenig und ich selbst habe wenig Kenntnisse
was IP-Tables und NAT angeht. Der Proxy(192.168.178.1:8118 / Testweise erstmal nur Privoxy / Allow Intercepted Proxy ist aktiv) soll für das interne Netz 192.168.178.0/24 nicht transparent sein (von daher kein grosses Problem/Proxy wird im Browser hinterlegt -> läuft!). Dazu kommt ein 2tes lokales Netz nur für WLAN (10.0.0.0/24 mit hostapd/WPA2 + dnsmasq für die IP-Vergabe an die WLAN-Clients) auf einem Router(2) mit Debian Jessie (Banana Pi-R1 mit einem int. Broadcom-Switch / Switch und eth0 sind ein einem VLAN eth0.101 verbunden). Das generelle FORWARDING/NAT zwischen eth0.101 und wlan0 funktioniert (Inet wir erreicht).
Ich möchte nun erreichen, dass die WLAN-Clients (DHCP / LAN 10.0.0.0/24) nicht einfach über den Router1 kommunizieren sondern auf den dort laufenden Proxy transparent (irgendein Client aus 10.0.0.0/24:80 => 192.168.178.1:8118) umgeleitet werden. Ist sowas überhaupt möglich? Http-Anfragen aus dem 10.0.0.0/24 müssten ja erstmal auf 192.168.178.1:8118 umgeleitet werden (womit REDIRECT wohl nicht möglich ist, da nur lokal möglich) aber die Antworten müssten ja auch wieder beim WLAN-Client ankommen ... und wie das machbar ist, ist mir nicht völlig bewusst ...
Ich würde mich über Ideen/Anregungen freuen und bin auch gerne bereit etwas zu Lernen!
Gruss Balou
Hier mal ein Prinzip-Bild:
_____________ _______________________________________________ _____________________________ ______________________________
| Kabelmodem | <--> | (WAN IP/DHCP) Router1 Proxy(Static DHCP/Dnsmasq) | <--> | Router2 mit WLAN | <--> | WLAN-Client 10.0.0.x:80 |
| WAN IP | | 192.168.178.1 Proxy auf Port 8118 / WLAN Privat | | 192.168.178.2 / 10.0.0.1(WLAN) | | Umleitung auf 192.168.178.1:8118 |
---------------------- ------------------------------------------------------------------------------------ ========================== ----------------------------------------------------
| <--> | div. Clients Privat |
| 192.168.178.x Browser-Proxy |
----------------------------------------------------
Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Jessie
Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je
Hi.
Du brauchst auf jeden Fall iptables und einen Proxyserver wie Squid dazu.
Beispielsweise dort ist eine Anleitung, die natürlich auf deine Bedürfnisse etwas angepasst werden muss.
Schau dir eventuell auch mal ipFire (oder pfSense) an. Bei der(/n) Lösung(/en) kann man mit einer "klickibunti"-Oberfläche auswählen, ob und wo ein Proxy transparent laufen soll.
Du brauchst auf jeden Fall iptables und einen Proxyserver wie Squid dazu.
Beispielsweise dort ist eine Anleitung, die natürlich auf deine Bedürfnisse etwas angepasst werden muss.
Schau dir eventuell auch mal ipFire (oder pfSense) an. Bei der(/n) Lösung(/en) kann man mit einer "klickibunti"-Oberfläche auswählen, ob und wo ein Proxy transparent laufen soll.
Georg
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft
Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je
Gegenenfrage: ist sowas überhaupt sinnvoll? Was willst du mit dem Proxy bezwecken?Ich möchte nun erreichen, dass die WLAN-Clients (DHCP / LAN 10.0.0.0/24) nicht einfach über den Router1 kommunizieren sondern auf den dort laufenden Proxy transparent (irgendein Client aus 10.0.0.0/24:80 => 192.168.178.1:8118) umgeleitet werden. Ist sowas überhaupt möglich?
Unix is user-friendly; it's just picky about who its friends are.
Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je
@gbotti: Danke! IpTables und Privoxy sind vorhanden Squid wäre auch möglich, ich möchte die Lösung so einfach halten wie möglich und schaue mir die Links mal an.
@catdog2: Es soll ein Gäste-Wlan mit Werbeblocker werden, das erste lokale Netz soll nicht erreicht werden können (bis auf den Router/Proxy). So der Plan.
@catdog2: Es soll ein Gäste-Wlan mit Werbeblocker werden, das erste lokale Netz soll nicht erreicht werden können (bis auf den Router/Proxy). So der Plan.