3
Endian Firewall Source IP des Clients sichtbar bekommen
Hallo,
ich habe eine Endian Firewall hier im Testaufbau und einen Squid Proxy, der mit Auth Exceptions (dstdomain UND src) arbeiten soll. Der Squid sitzt in einer eigenen Zone und sieht natürlich als Source-IP nur die Endian Firewall, aber nicht den Client, der die Anfrage eigentlich gestellt hat. Das bringt mich natürlich um die Nutzbarkeit der UND-Verknüpfung im Squid. Ich meine mal gelesen zu haben, dass man irgendwie die eigentlichen Quellen mitgeben kann. Erinnere mich aber nicht wo ich das gelesen habe bzw. wie es heißt, sodass ich danach suchen kann. Kann mir jemand helfen drauf zu kommen?
Gruß aus Köln
ich habe eine Endian Firewall hier im Testaufbau und einen Squid Proxy, der mit Auth Exceptions (dstdomain UND src) arbeiten soll. Der Squid sitzt in einer eigenen Zone und sieht natürlich als Source-IP nur die Endian Firewall, aber nicht den Client, der die Anfrage eigentlich gestellt hat. Das bringt mich natürlich um die Nutzbarkeit der UND-Verknüpfung im Squid. Ich meine mal gelesen zu haben, dass man irgendwie die eigentlichen Quellen mitgeben kann. Erinnere mich aber nicht wo ich das gelesen habe bzw. wie es heißt, sodass ich danach suchen kann. Kann mir jemand helfen drauf zu kommen?
Gruß aus Köln
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 504038
Url: https://administrator.de/contentid/504038
Printed on: April 26, 2024 at 14:04 o'clock
3 Comments
Latest comment
Du denkst zu kompliziert: Wenn du in Richtung des Squid-Proxy kein NAT machst, bleibt die Source-IP unverändert...
Danke für die Antwort. Vielleicht mache ich das etwas deutlicher. Mein Fehler.
Auf dem Squid muss ich ja die Quell-IP des Clients "sehen" damit ich mein Vorhaben mit DST-SRC-UND-Verknüpfung umsetzen kann. Wenn das nicht geht, dann müsste ich theoretisch einen Proxy in das LAN setzen wo die Clients sind (Proxy-Kaskade?) stehen und das da machen. Das wäre dann aber auch etwas mehr Pflegeaufwand. Andersrum wäre es ggf. ein Sicherheitsverlust, wenn die Quell-IPs sichtbar wären. Pest oder Cholera?
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Clients -----> EndianFW ------> Squid -------> pfSense ------> InternetAuf dem Squid muss ich ja die Quell-IP des Clients "sehen" damit ich mein Vorhaben mit DST-SRC-UND-Verknüpfung umsetzen kann. Wenn das nicht geht, dann müsste ich theoretisch einen Proxy in das LAN setzen wo die Clients sind (Proxy-Kaskade?) stehen und das da machen. Das wäre dann aber auch etwas mehr Pflegeaufwand. Andersrum wäre es ggf. ein Sicherheitsverlust, wenn die Quell-IPs sichtbar wären. Pest oder Cholera?
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Zitat von @hannes.hutmacher:
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Dann ersetze sie halt nicht
