3
Endian Firewall Source IP des Clients sichtbar bekommen
Hallo,
ich habe eine Endian Firewall hier im Testaufbau und einen Squid Proxy, der mit Auth Exceptions (dstdomain UND src) arbeiten soll. Der Squid sitzt in einer eigenen Zone und sieht natürlich als Source-IP nur die Endian Firewall, aber nicht den Client, der die Anfrage eigentlich gestellt hat. Das bringt mich natürlich um die Nutzbarkeit der UND-Verknüpfung im Squid. Ich meine mal gelesen zu haben, dass man irgendwie die eigentlichen Quellen mitgeben kann. Erinnere mich aber nicht wo ich das gelesen habe bzw. wie es heißt, sodass ich danach suchen kann. Kann mir jemand helfen drauf zu kommen?
Gruß aus Köln
ich habe eine Endian Firewall hier im Testaufbau und einen Squid Proxy, der mit Auth Exceptions (dstdomain UND src) arbeiten soll. Der Squid sitzt in einer eigenen Zone und sieht natürlich als Source-IP nur die Endian Firewall, aber nicht den Client, der die Anfrage eigentlich gestellt hat. Das bringt mich natürlich um die Nutzbarkeit der UND-Verknüpfung im Squid. Ich meine mal gelesen zu haben, dass man irgendwie die eigentlichen Quellen mitgeben kann. Erinnere mich aber nicht wo ich das gelesen habe bzw. wie es heißt, sodass ich danach suchen kann. Kann mir jemand helfen drauf zu kommen?
Gruß aus Köln
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504038
Url: https://administrator.de/contentid/504038
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
3 Kommentare
Neuester Kommentar
Du denkst zu kompliziert: Wenn du in Richtung des Squid-Proxy kein NAT machst, bleibt die Source-IP unverändert...
Danke für die Antwort. Vielleicht mache ich das etwas deutlicher. Mein Fehler.
Auf dem Squid muss ich ja die Quell-IP des Clients "sehen" damit ich mein Vorhaben mit DST-SRC-UND-Verknüpfung umsetzen kann. Wenn das nicht geht, dann müsste ich theoretisch einen Proxy in das LAN setzen wo die Clients sind (Proxy-Kaskade?) stehen und das da machen. Das wäre dann aber auch etwas mehr Pflegeaufwand. Andersrum wäre es ggf. ein Sicherheitsverlust, wenn die Quell-IPs sichtbar wären. Pest oder Cholera?
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Clients -----> EndianFW ------> Squid -------> pfSense ------> InternetAuf dem Squid muss ich ja die Quell-IP des Clients "sehen" damit ich mein Vorhaben mit DST-SRC-UND-Verknüpfung umsetzen kann. Wenn das nicht geht, dann müsste ich theoretisch einen Proxy in das LAN setzen wo die Clients sind (Proxy-Kaskade?) stehen und das da machen. Das wäre dann aber auch etwas mehr Pflegeaufwand. Andersrum wäre es ggf. ein Sicherheitsverlust, wenn die Quell-IPs sichtbar wären. Pest oder Cholera?
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Zitat von @hannes.hutmacher:
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Ich weiß, dass die lokale IP des Clients durch die des Routers ersetzt wird. Ich hätte nur gedacht, dass sie "mitgegegen" werden kann, dass das auf der anderen Seite verwendet werden kann.
Dann ersetze sie halt nicht
