Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Zywall 5 und USG20 - HTTP Verkehr aus dem LAN in DMZ zu HTTP-Proxy umleiten - transparenter Proxy

Mitglied: Dance1

Dance1 (Level 1) - Jetzt verbinden

21.10.2013 um 10:51 Uhr, 3410 Aufrufe, 12 Kommentare

Guten Tag,

vielleicht kann mit hier jemand den richtigen Weg weisen!

Ich möchte den HTTP Verkehr aus dem LAN in die DMZ, auf einen HTTP-Proxy Server umleiten - wie macht man das auf der Firewall, um nicht an jedem PC die Eingaben im Browser angeben zu müssen?
Anleitungen wie das von Außen funktioniert (port forwarding) existieren im Internet genug - aus dem LAN heraus weniger!
Muss das mit policy route gemacht werden?
Auf den Zywalls NATe ich, LAN und DMZ sind private Netze.

Würd mich über Hilfe freuen!

Gruß - Marco
Mitglied: GuentherH
21.10.2013 um 11:28 Uhr
Hi.

Bei der USG hast du doch unter Netzwerkeinstellungen die Funktion HTTP Umleitung.

Zywall weiß ich es nicht mehr genau, aber auch da sollte es eine HTTP Umleitung auf einen Proxy geben.

LG Günther
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 11:49 Uhr
Hallo Günther,

du hast vollkommen recht - bei der USG gibt es diesen Punkt - vielen Danke für den Hinweis!
Ich hab mich bisher nur mit der Zywall 5 bezüglich des Proxy's beschäftigt - dort gibt es diese HTTP-Umleitung leider nicht!

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 11:51 Uhr
Ansonsten geht das auch immer mit Policy Based Routing indem man über eine ACL den Port TCP 80 Traffic mit einem anderen next Hop Gateway, dem Proxy, versieht.

Wenns das denn war bitte
https://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 12:21 Uhr
Hallo aqui,

ich hab's geahnt - hab ich auch schon probiert, hab da aber scheinbar etwas falsch angegeben.

diese Infos möchte die Zywall 5 von mir:

unter Criteria

Protokoll: TCP
Source: LAN
Starting IP Adress: 192.168.168.2
Ending IP Adress: 192.168.168.200
Starting Port: 80
Ending Port: 80
Destination: da kann ich, so wie bei Source oben, die DMZ nicht auswählen
Starting IP Adress: 192.168.200.5
Ending IP Adress: 192.168.200.5
Starting Port: 80 (oder 3128 für den Squid)
Ending Port: 80 (oder 3128 für den Squid)
Action Applies to: Matched

unter Routing Action:

Gateway: userdefined 192.168.200.1 (Gateway DMZ)

das müsste doch eigentlich passen, oder?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
21.10.2013 um 12:42 Uhr
Ja das passt und sieht gut aus sofern das im Menü "Policy Based Routing" abgefragt wird und nicht NAT oder sowas...?!
Source sind die Absender IPs aus dem lokalen LAN, Port ist klar...
Destination müsste die Zieladresse sein, wenn das Internet ist muss da sowas wie "ANY" hin, denn du kannst da ja nicht 1 Million Internet IP Adressen eingeben
Bitte warten ..
Mitglied: Dance1
21.10.2013 um 16:03 Uhr
hallo aqui,

Policy Routing nennt sich das auf der Zywall 5. In der Hilfe dazu schreiben sie auch policy-based Routing - das dürfte schon passen.
Source ist klar - genau.
Destination ist in meinem Fall der HTTP Proxy in der DMZ, nicht das Internet - der Proxy soll sich mit den IP Adressen des Internets auseinandersetzen ;)
Leider bekomm ich die Policy nicht so hin, dass die Zywall die Pakete in die DMZ umleitet so wie es aussieht - zumindest kann ich im Log nichts derartiges erkennen und am Proxy selber kommt nichts an
Bitte warten ..
Mitglied: aqui
22.10.2013 um 10:13 Uhr
Nein, eine Policy Router kann ja nur diese relevanten Pakete an ein andere Gateway forwarden. Diese Gateway IP muss sich im Netzbereich an der Zywall befinden sonst klappt das logischerweise nicht. Sie kann nicht in einem anderen Netzwerk liegen was so aus dem Segment nicht erreichbar ist.
Wie sollte das technisch auch gehen ??
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 14:17 Uhr
Hallo aqui,

ich hab folgende Menüpunkte unter Advanced auf der Zywall 5

NAT
STATIC ROUTE
POLICY ROUTE
BW MGMT
DNS
REMOTE MGMT
UPnP
Custom APP
ALG

leider kein policy based route

kann es sein, dass die Zywall 5 das nicht kann?

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:22 Uhr
Policy Route und Policy based Route ist das gleiche ! Ist so als wenn du sagst ich hab nur "britisch" und kein "englisch"
Bitte warten ..
Mitglied: Dance1
22.10.2013 um 16:41 Uhr
also ganz versteh ich es immer noch nicht

ich habe ein LAN - mit dem Netzwerksegment 192.168.168.0/24
ich habe eine DMZ - mit dem Netzwerksegment 192.168.200.0/24
der Proxy hat in der DMZ die Adresse 192.168.200.5

ich möchte die HTTP Pakete mit Port 80 an den Proxy in der DMZ umleiten

Source sind also alle Clients in 192.168.168.0
was ist dann Destination? irgendwo muss ich den Proxy doch angeben, oder?

Gateway ist die Gatewayadresse in der DMZ nehm ich an - also 192.168.200.1

lieben Gruß - Marco
Bitte warten ..
Mitglied: aqui
22.10.2013 um 16:47 Uhr
Eigentlich ist das so richtig. Source ist das 192.168.168.0/24 LAN Destination müsste "any" sein wenn es sich um Traffic ins Internet handelt und als Next Hop Gateway gibst du die 192.168.200.5 an.
Das sollte es gewesen sein. Auf einer pfSense in 3 Minuten zusammengeklickt im GUI und...funktioniert !
Bitte warten ..
Mitglied: Dance1
23.10.2013 um 17:38 Uhr
hallo aqui,

das war der richtige Hinweis, danke - endlich versteh ich was du gemeint hast - und es funktioniert FAST!
Ich hab den Proxy jetzt in's LAN statt in die DMZ gestellt - weil das Gateway ja scheinbar im selben Netzwerksegment stehen muss - passt.
Es funktioniert aber nur wenn ich bei Protokoll "All" angebe - wenn ich TCP und Port 80 auswähle, dann greift die Policy nicht!?
Möglicherweise ist da noch etwas am Squid Proxy einzustellen - obwohl ich dem Squid Port 80 auch als Port an dem er lauschen soll angegeben habe - zumindest funktioniert es mit Port 80 im Browser unter den Proxy-Einstellungen auch.
Vielen Dank für deine Hilfe - ich habe viel gelernt bis jetzt
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Antivirus HTTP Proxy sinnvoll?
Frage von MimemmmSicherheitsgrundlagen3 Kommentare

Hallo, haltet ihr es für sinnvoll in einem mittelständischen Unternehmen einen zentralen HTTP Proxy zu betreiben um Traffic auf ...

Windows Server
Windows Server 2016 - HTTP Proxy
Frage von StefanT81Windows Server2 Kommentare

Hallo, ich suche mir einen Wolf nach einer vernünftigen Anleitung nach einem HTTP Proxy (Protokollierung). Ich habe einen Windows ...

Sicherheitsgrundlagen

Welcher Antivirus HTTP Proxy Server(zentral)?

Frage von MimemmmSicherheitsgrundlagen2 Kommentare

Hallo, welche Software könnt ihr als Antivirus Proxy Server empfehlen? Es geht darum einen _zentralen_ Standalone HTTP Proxy Server ...

Webentwicklung

Nginx Reverse Proxy, HTTP AUTH User eingrenzen

Frage von christophhWebentwicklung7 Kommentare

Hallo, ich möchte eine interne Webanwendung per Nginx auch extern, bereitzustellen. Ich nutze den Nginx also als Reverse Proxy ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 4 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 4 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 8 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 8 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba27 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Windows Server
Kleine Umfrage: Windows Server Desktop oder Core?
Frage von doomfreakWindows Server22 Kommentare

Hey :) Ich wollte mal eine kleine Umfrage hier starten. Ich bin schon etwas länger auf dieser Seite hier ...

Batch & Shell
CMD-Fenster nach Task schließen
gelöst Frage von Hyperlink.93Batch & Shell16 Kommentare

Hallo, ich habe ein Skript was über einen Task bei jeder User Anmeldung läuft. Der Task startet eine CMD ...

Microsoft
Lizenzplausibilisierung oder Spam?
Frage von lordimacMicrosoft14 Kommentare

Liebe Forengemeinde, uns erreichte die Tage eine Mail bezüglich einer Lizenzplausibilisierung durch einen Microsoft SAM Partner. Die Meldung im ...