Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Jessie

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
balou1974
Beiträge: 4
Registriert: 10.04.2009 12:28:02

Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Jessie

Beitrag von balou1974 » 31.05.2015 11:51:30

Hallo,

ich beschäftige mich gerade mit der Absicherung verschiedener lokaler Netze, diese sollen ein und den selben Proxy verwenden. Leider findet man dazu im Netz eher wenig und ich selbst habe wenig Kenntnisse
was IP-Tables und NAT angeht. Der Proxy(192.168.178.1:8118 / Testweise erstmal nur Privoxy / Allow Intercepted Proxy ist aktiv) soll für das interne Netz 192.168.178.0/24 nicht transparent sein (von daher kein grosses Problem/Proxy wird im Browser hinterlegt -> läuft!). Dazu kommt ein 2tes lokales Netz nur für WLAN (10.0.0.0/24 mit hostapd/WPA2 + dnsmasq für die IP-Vergabe an die WLAN-Clients) auf einem Router(2) mit Debian Jessie (Banana Pi-R1 mit einem int. Broadcom-Switch / Switch und eth0 sind ein einem VLAN eth0.101 verbunden). Das generelle FORWARDING/NAT zwischen eth0.101 und wlan0 funktioniert (Inet wir erreicht).

Ich möchte nun erreichen, dass die WLAN-Clients (DHCP / LAN 10.0.0.0/24) nicht einfach über den Router1 kommunizieren sondern auf den dort laufenden Proxy transparent (irgendein Client aus 10.0.0.0/24:80 => 192.168.178.1:8118) umgeleitet werden. Ist sowas überhaupt möglich? Http-Anfragen aus dem 10.0.0.0/24 müssten ja erstmal auf 192.168.178.1:8118 umgeleitet werden (womit REDIRECT wohl nicht möglich ist, da nur lokal möglich) aber die Antworten müssten ja auch wieder beim WLAN-Client ankommen ... und wie das machbar ist, ist mir nicht völlig bewusst ...

Ich würde mich über Ideen/Anregungen freuen und bin auch gerne bereit etwas zu Lernen!

Gruss Balou

Hier mal ein Prinzip-Bild:

_____________ _______________________________________________ _____________________________ ______________________________
| Kabelmodem | <--> | (WAN IP/DHCP) Router1 Proxy(Static DHCP/Dnsmasq) | <--> | Router2 mit WLAN | <--> | WLAN-Client 10.0.0.x:80 |
| WAN IP | | 192.168.178.1 Proxy auf Port 8118 / WLAN Privat | | 192.168.178.2 / 10.0.0.1(WLAN) | | Umleitung auf 192.168.178.1:8118 |
---------------------- ------------------------------------------------------------------------------------ ========================== ----------------------------------------------------
| <--> | div. Clients Privat |
| 192.168.178.x Browser-Proxy |
----------------------------------------------------

gbotti
Beiträge: 846
Registriert: 16.07.2010 14:24:43
Wohnort: München

Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je

Beitrag von gbotti » 01.06.2015 13:03:25

Hi.

Du brauchst auf jeden Fall iptables und einen Proxyserver wie Squid dazu.

Beispielsweise dort ist eine Anleitung, die natürlich auf deine Bedürfnisse etwas angepasst werden muss.

Schau dir eventuell auch mal ipFire (oder pfSense) an. Bei der(/n) Lösung(/en) kann man mit einer "klickibunti"-Oberfläche auswählen, ob und wo ein Proxy transparent laufen soll.
Georg
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je

Beitrag von catdog2 » 01.06.2015 15:03:51

Ich möchte nun erreichen, dass die WLAN-Clients (DHCP / LAN 10.0.0.0/24) nicht einfach über den Router1 kommunizieren sondern auf den dort laufenden Proxy transparent (irgendein Client aus 10.0.0.0/24:80 => 192.168.178.1:8118) umgeleitet werden. Ist sowas überhaupt möglich?
Gegenenfrage: ist sowas überhaupt sinnvoll? Was willst du mit dem Proxy bezwecken?
Unix is user-friendly; it's just picky about who its friends are.

balou1974
Beiträge: 4
Registriert: 10.04.2009 12:28:02

Re: Ein transparenter Proxy für 2 lokale Netze(IPv4)/Deb. Je

Beitrag von balou1974 » 01.06.2015 18:30:44

@gbotti: Danke! IpTables und Privoxy sind vorhanden Squid wäre auch möglich, ich möchte die Lösung so einfach halten wie möglich und schaue mir die Links mal an.

@catdog2: Es soll ein Gäste-Wlan mit Werbeblocker werden, das erste lokale Netz soll nicht erreicht werden können (bis auf den Router/Proxy). So der Plan.

Antworten