[fli4l] Port 80-An?==?utf-8?Q?fragen auf anderen fli4l-Po?==?utf-8?Q?rt zwingen?

K. Dreier usenetforum at gmx.net
So Feb 8 18:11:53 CET 2015 

Hallo,

Christoph Schulz schrieb am Sa, 07 Februar 2015 20:46
> Ein REDIRECT ist doch genau das, was du willst.

Wenn du das sagst. Ich hatte es halt anders verstanden. Aber es ja
trotzdem so versucht, mit mäßigem Erfolg:

Zitat:
> Was funktioniert da nicht und welche Meldung erhältst du?

Es scheint zu funktionieren, denn es ist eine Squid-Fehlermeldung:
"Der folgende Fehler wurde beim Versuch die URL / zu holen
festgestellt:

    Ungültige URL

Der Syntax der angeforderten URL ist falsch."

Zitat:
> Wie hast du deine Firewall mit REDIRECT konfiguriert, so dass es
> _nicht_ lief, wie du es dir 
> vorgestellt hast?

Eben so: PF_PREROUTING_x='tmpl:http @client1 REDIRECT:3128' # for
client1: port 80

Zitat:
> Das sieht doch richtig aus. Bist du sicher, dass du squid nicht 
> versehentlich "verkonfiguriert" hast? Meines Wissens gibt es auch
> bei squid 
> Einstellungen, mit denen man angeben muss, welche Netzen squid
> bedient und 
> welche nicht.

Der Fehler muß ja in der Tat bei Squid liegen. Das Netz, aus dem mein
client1 kommt, ist dort aber erlaubt. Damit will ich dich aber gar nicht
belästigen, da es mir in diesem Thread darum ging, sicherzustellen,
daß ich die Firewall richtig konfiguriere. Es funktioniert, wenn ich
bei Squid den transparenten Proxy einschalte - aber das ist ja gerade
genau das, was ich so - für alle Netze - _nicht_ will.

Also hatte ich die Idee, daß ich den Spieß umdrehe. Wenn Squid alles
transparent auf 3128 umbiegt via:
SQUID_TRANSPARENT_CACHING='yes' # squid redirects port 80 to cache
clients
SQUID_TRANSPARENT_FORWARDING='yes' # iptables redirects port 80 to cache
clients
dann sage ich halt, daß für einen bestimmten client diese Anfrage
wieder auf 80 zurückgebogen wird:
PF_PREROUTING_x='prot:tcp @client1 3128 DNAT:IP_NET_2_IPADDR:80'

Immerhin zerhaut es mir so nicht den WAN-Zugang, jedoch zeigt der
Squid-Log weiterhin Zugriffe vom client1.
Offensichtlich mache ich hier wieder was falsch bzw. verstehe insgesamt
nicht, was ich machen muß. Kennen wir ja.  :roll: 

Zitat:
> Außerdem muss squid natürlich auf der Schnittstelle horchen, von
> der die 
> Anfrage kommt. Ein REDIRECT ändert die Zieladresse auf die Adresse
> der 
> Schnittstelle, auf der das Paket hereinkommt. Wenn dein Client also
> in 
> IP_NET_3 ist, dann muss squid auf IP_NET_3_IPADDR (also der Adresse,
> die 
> Netzmaske ignorierend, die in IP_NET_3 angegeben ist) horchen.

Da könnte auch noch ein Problem liegen, obwohl eben via
SQUID_AUTO_CONFIG='no' # configure allowed networks with those in
base.txt,; if "no" then use info below
SQUID_ACCESS_NET_N='x'
SQUID_ACCESS_NET_x='192.168.xxx.0/24'
der Zugriff aus NET_3 erlaubt ist.

Mein Problem dürfte sein, daß ich den Zusammenhang zwischen dem, was
Squid mit der Konfig genau macht und dem, was ich machen muß, um davon
Ausnahmen zu erreichen, nicht verstehe.

Ja nu, Squid ist nicht so wichtig, als daß man hier viel Zeit
verschwenden müßte, auch wenn es interessant wäre, zu wissen, wie man
so etwas lösen könnte.

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L