Hallo,
ich habe offensichtlich einen wichtigen Teil in der Welt der Firewall Konzepte nicht verstanden.
Ich versuche einen Linux Rechner mit zwei Interfaces als Gateway/Firewall einzurichten.
In die Welt von IPtables unter Linux hab ich mich schon ein gutes Stück reingearbeitet.
Der Proxy squid läuft schon problemlos.
Allerdings scheiter ich zur Zeit an dem Verständnis.
Des öfteren bin ich in den vergangenen Tagen auf Artikel gestoßen, die beim Einrichten einer Firewall zwei "grundsätzlich" verschiedene Konzepte klar voneinander trennen. Entweder Proxy oder Paketfilter.
Jetzt meine simple Frage: Gibt es etwas das gegen beides spricht?
Ich bin durch das Konzept an einen Proxyserver auf dem Firewallrechner gebunden. Nun wollen meine Clients nicht nur http sondern auch andere Dienste in Anspruch nehmen. Was mach ich also mit Port-Bereichen die Ausserhalb der squid-Zuständigkeit liegen?
Ist es da verwerflich das Forwarding mit Regeln zu versehen?
Gruß
Minesweeper XL
Server für LAN und Internet 367 Themen, 10.706 Beiträge
Hallo,
ich kann nichts verwerfliches an Deinem Lösungsansatz finden.
Der Proxy an sich biete ja schon hinreichend Schutz und für z. B. SMTP oder NNTP gibt es ja keine Möglichkeit einen Proxy zu verwenden. Der ISA Server z. B. bietet sowohl Proxydienste für HTTP/HTTPS und FTP an, als auch Firewallfunktionen.
Vielleicht waren die Artikel so zu verstehen:
Die beiden Konzepte sind in der Tat "grundsätzlich verschieden" - von der Technik her. Und entweder lasse ich den Port 80 über den Proxy laufen, oder aber über die Firewall.
Gruß HADU
Hallo Hadu,
danke für die Antwort. Ich werde dann wohl mal auf dem bisherigen Wege weiterbasteln. :)
Gruß
Minesweeper XL
Du liegst richtig und gleichzeitig falsch :o)
Ein Paketfilter filtert durchlaufende Pakete, welche zwischen den zei (oder mehr) Schnittstellen "forwarded" werden. Bei einem Proxy wird nicht "forwarded", sondern die Anfragen werden auf Anwendungsebene neu erstellt.
Du hast natürlich recht damit, daß der Proxy anwendungsspezfisch arbeitet, er also an fremden Protokollen scheitert (sofern es sich nicht um einen Socks-Proxy handelt). Diese Anfragen wollen ja aber auch behandelt werden. Jetzt gibt es aber einen ben Fallstrick in der Konfiguration. Angenommen Du hast einen Gaeway, der gleichzeitig als Router / Gateway mit Firewall und als Proxy für HTTP dient. Jetzt willst Du natürlich, daß die User über den Proxy gehen. Hierzu mußt Du aber dafür sorgen, daß die Anfragen, welche über Proxy laufen sollen nicht auch einfach geroutet werden können, wenn ein User z.B. den Proxy für HTTP im Browser nicht einträgt, denn dann hat er nicht den Schutz bzw. die Beschränkung durch den Proxy. Du mußt also dafür sorgen, daß die Anfragen die für den proxy sind "forwarded" werden über den Paketfilter. Dies ist auch eigentlich genau die Aussage, die Du in Frage stellst: "Proxy und Paketfilter schließen sich aus". Allerdings dürfte diese Aussage protokollabhängig gemeint sein.