corraggiouno
Goto Top

Proxy Server im Gewerbe

Hallo,

haben hier im Unternehmen einen Windows Server 2008 mit AD / Domäne im Einsatz. Per DHCP, welcher ebenfalls an auf Windows Server 2008 läuft, werden die IP-Adressen verteilt. Die Anzahl der Clients sind ca. 25.
Die Internetanbindung geht direkt über einen Links-Router. Nun habe ich mir überlegt einen Proxy-Server zu installieren bzw. zu konfigurieren. Kann mir jemand eine sichere Proxy-Adresse bzw. Proxy-Software empfehlen.
Für ein paar Tipps wäre ich sehr dankbar!

Content-Key: 122481

Url: https://administrator.de/contentid/122481

Printed on: April 21, 2024 at 18:04 o'clock

Member: maretz
maretz Aug 11, 2009 at 10:35:19 (UTC)
Goto Top
squid / squidguard - notfalls in ner vm laufen lassen
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 10:45:33 (UTC)
Goto Top
Das ist ja ein Linux - Produkt. Wir haben hier eine Windows Client-Server Umgebung.
Member: wiesi200
wiesi200 Aug 11, 2009 at 10:49:23 (UTC)
Goto Top
Zitat von @Corraggiouno:
Das ist ja ein Linux - Produkt. Wir haben hier eine Windows
Client-Server Umgebung.

Squid gibt's zwar auch für Windows. Aber im Prinzip interessiert es Windows nicht ob er die Webseiten von einer Linuxkiste abhohlt. Gibt ja auch genug Apache Server auf Linux im Web.

Squid läuft echt gut.
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 10:54:37 (UTC)
Goto Top
da wir nur minimale Kenntnisse im Linux-Bereich haben, werden wir auch keine Linux-Rechner / Server einsetzen. Dann muss wohl Squid auf unserem Windows Server 2008 laufen, oder?
Member: godlie
godlie Aug 11, 2009 at 11:06:37 (UTC)
Goto Top
Sonst gibs immer noch den ISA Server von M$ selbst.
Aber ob damit eine Freude haben wirst ......
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 11:08:20 (UTC)
Goto Top
ich finde auf der squid-seite den download-link zur windows-version nicht!
Member: maretz
maretz Aug 11, 2009 at 11:11:16 (UTC)
Goto Top
Squid unter Windows würde ich nicht machen - es sei denn du stehst auf Schmerzen...

Entweder eben nen Linux in ner VMWare und dafür nen richtig guten Proxy der auch kostenlos ist und praktisch alles kann - oder das ganze unter Windows mit bezahlen für was halbwegs gutes...

Allerdings: Ich hoffe du willst den Proxy eh nicht auf dem Server mit draufinstallieren, oder?
Member: wiesi200
wiesi200 Aug 11, 2009 at 11:14:27 (UTC)
Goto Top
Such mal bei google unter "squid windows" da werden sie fündig. Wobei ich auch eher zu Linux tendieren würde.

Bei Suse Enterprise gibt's ein schönes grafisches Einrichtmodul dazu. Bzw. das geht auch mit Webmin relativ schon.
Member: wiesi200
wiesi200 Aug 11, 2009 at 11:19:46 (UTC)
Goto Top
Das könntest du auch mal testen.
http://de.wikipedia.org/wiki/IPCop
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 11:22:30 (UTC)
Goto Top
also ich nehme ne gewöhnlich PC-Kiste mit Windows XP. Installiere VMWare drauf und lasse in der VMWare z.B. ein opensuse mit Squid laufen, oder?
Member: wiesi200
wiesi200 Aug 11, 2009 at 11:23:12 (UTC)
Goto Top
Dann brauchst du nicht mal XP installieren.
Member: Flo985
Flo985 Aug 11, 2009 at 13:16:55 (UTC)
Goto Top
Ich kann endian nur empfehlen. Sehr viele Einstellmöglihckeiten und leicht zu installieren.
Habe es auch auf ner virtuellen Maschine laufen... Solltest du dir vielleicht mal anschauen.

http://www.endian.com/de/
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 13:36:52 (UTC)
Goto Top
ich werde es mal mit ipcop versuchen. eines ist mir noch etwas unklar. wenn ich mit hilfe von ipcop über das webinterface eine dementsprechende konfiguration des web-proxy vornehme, wo bleibt denn da die Anonymität? bzw. was muss diesbezüglich eingestellt werden?
Member: c-webber
c-webber Aug 11, 2009 at 14:57:13 (UTC)
Goto Top
Zitat von @maretz:
Squid unter Windows würde ich nicht machen - es sei denn du
stehst auf Schmerzen...

schonmal selbst Probiert ??

Also ich habe bei einigen Kunden den SquidNT (so heißt die Windows-Variante) am laufen und 0 (in Worten: NULL) Probleme.
Einmal konfigurieren starten, Dienst installieren, fertig

Kann ich nur empfeheln, denn der ISA-Server ist zu teuer und IPCOP ist eigentlich ja ne Firewall/VPN-Gateway - Lösung.

Bevor Du irgendwo was kostenpflichtiges draufhaust, nimm SquidNT und mal nen Vormittag zeit damit du schnallst wie die ACLs angelegt werden und Du hast keine Probleme mehr.
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 15:12:05 (UTC)
Goto Top
...ok, aber wie wird hier Anonymität hergestellt? Welche IP(s) müssen da definiert werden?
Member: c-webber
c-webber Aug 11, 2009 at 15:38:03 (UTC)
Goto Top
Anonymität ??

Du gehst immer noch über deinen Anschluß mit deinen Zugangsdaten ins Inet, ein einfacher Proxy tut hier nix anonymisieren, nur insoweit, als das keiner genau sagen kann welcher der vielen Clients, die dein Proxy bedient auf die Seite xyz zugegriffen hat.
Wobei sich sowas aus den Proxy Log-Files wieder raus lesen lässt.

Scheinbar hast Du eine falsche Vorstellung davon, was so ein Unternehmens-Proxy eigentlich macht.
Der ist dafür da, Inet-Verkehr zu filtern, sprich entweder ne Blacklist- / Whitelist-Lösung für Domains, die gesperrt oder zugänglich gemacht werden sollen, oder eine User- / Gruppenspezifische Lösung, um einer Gruppe von Usern Zugang zum Inet zu gewähren oder auch nicht.

Sag erst mal was Du genau vor hast, ich glaube Du verfolgst den falschen Ansatz.

Gruß, Chris
Anonymisierende Proxys gibts im Inet zuhauf, Bsp TOR.
Aber ich glaube kaum, daß du den Internetverkehr der Firma über einen Proxy laufen lassen willst, von dem Du nicht weißt wo er steht, wie lange er noch funktioniert und wer die Daten alles mitlesen kann
Member: Corraggiouno
Corraggiouno Aug 11, 2009 at 15:57:28 (UTC)
Goto Top
meine vorstellung war die, dass die User sozusagen im internet anonymisiert sind.
Bestimmte Domains können ja auch über den Virenscanner geblockt werden, da brauch ich keinen Proxy.
Member: c-webber
c-webber Aug 11, 2009 at 16:16:30 (UTC)
Goto Top
Sprich, keiner soll wissen, das die Anfrage bei Server xy jetzt von einem aus deiner Firma kommt ?

So geht das nicht mit nem Proxy.
Ein Proxy ist per definition (lat: Stellvertreter) eine Maschine, die "für dich" ins Inet geht und dann das was sie sieht an dich weiterleitet.

Aber alles selbstverständlich über deine dir vom Provider zugeweisene IP.
Wenn Du damit jetzt in ein STOP-Schild rasselst wird die IP geloggt, die kann deinem Anschluß zugeordnet werden.

Welcher User in deinem Netz das nun ausgelöst hat, das steht in den Logfiles des Proxys ( die man natürlich löschen kann )

Bringt dir Bandbreitenoptimierung und Filtermöglichkeiten, denn hier kannst Du sagen wer worauf zugreifen kann/darf.
Man kann natürlich jedem vollen Zugriff gewähren.

Eine Seite oder Bild, das der Proxy schon im cache hat, weil ein anderer user heute schon auf z.B. bild.de war, ist dann natürlich schneller bei dir als ohne proxy, denn so muss er nicht alles erneut runterladen, denn er hats ja schon im cache.

Was Du wohl meinst ist die TOR geschichte, aber da würde ich noch nicht mal privat drüber surfen, denn das ist langsam und jeder betreiber von einem TOR-Endpunkt (könnte dein Nachbar sein) kann alle Daten die über seinen TOR drüber gehen theoretisch mitlesen, speichern, modifizieren, umleiten...

Was macht eure Firma denn so verbotenes, daß Ihr anonym sein wollt ?? :D

Na, jetzt mal erst:
Wenn du deinen Proxy so konfigurierst, daß nur auf vertrauenswürdige Seiten zugegriffen werden darf, oder nur vertrauenswürdige Mitarbeiter uneingeschränkten Zugriff auf Inet bekommen, dann brauchst Du keine Angst vor Strafverfolgung zu haben und brauchst somit auch keinen anonymisierenden Service.
Mitglied: 51705
51705 Aug 11, 2009 at 18:14:36 (UTC)
Goto Top
Hallo,

Sprich, keiner soll wissen, das die Anfrage bei Server xy jetzt von
einem aus deiner Firma kommt ?

So geht das nicht mit nem Proxy.

soso..., Tor Proxy vielleicht (http://www.torproject.org/index.html.de)

Grüße, Steffen

PS: Die Forderung nach Anonymität ist kein Grund um auf:

Was macht eure Firma denn so verbotenes, ...?

zu schliessen!
Member: c-webber
c-webber Aug 11, 2009 at 18:45:07 (UTC)
Goto Top
Leute ich kenn TOR, hab ich sogar selbst mal genutzt,
aber im Firmenumfeld ist meines Erachtens keine Notwendigkeit der Anonymisierung gegeben,
erst recht nicht mit den nachteilen die TOR mitbringt.

Wenn in der Firma Leute auf Seiten zugreifen, bei denen man besser anonym wäre, dann sollte dies durch einen eigenen Proxy abgefangen werden.

Keine Frage, für privat Leute die, egal ob begründet oder nicht, auf anonymisierung Wert legen ist TOR ne Alternative,
aber Du kannst das was TOR mit nem ganzen Netzwerk an untereinander verschachtelten Proxys leistet nicht bei dir im Unternehmen mit einem Unternehmens-Proxy nachbilden.

Er fragt ganz oben nach einem "Proxy im Gewerbe" !

Ich kenn keinen vernünftigen Netzwerk-Admin, der seine Firma via TOR ins Inet schickt.

Wenns hier tatsächlich um eine Frage nach einem anonymen Firmen-Inet geht,
dann kannst Du natürlich auf jedem Rechner die TOR-SW installieren, hat aber wie gesagt auch einige Nachteile.

Am besten nutzt Du dann aber deinen Server oder irgend nen alten PC als Router und Std-Gateway im Ersatz für den Linksys, denn dann kannst Du auf diesem PC TOR installieren und musst das nicht auf allen Workstations machen.
Member: maretz
maretz Aug 11, 2009 at 21:35:19 (UTC)
Goto Top
Zum Thema Tor: Ich habe es auch ne zeitlang selbst getestet - und ich muss sagen das die Leute bei mir in der Firma mich kurzerhand aus dem Fenster werfen würden wenn ich den gesamten Firmentraffic über den Tor-Proxy leite... Dafür ist das Netz DEUTLICH zu langsam. Dazu kommt halt das Problem das für eine Anfrage an z.B. administrator.de mein "Endpunkt" an dem ich aus dem Tor-Netz komme ggf. in den Staaten liegt - d.h. ich habe ewig lange Transatlantik-Verbindungen... (und wie wir ja alle wissen: Signalgeschwindigkeit ca. 300.000 km/s -> bedeutet das wenn ich mal eben für die Strecke USA/DE 8000 KM annehme:
1) Anfrage von mir in die USA 8000 KM
2) Anfrage vom Server USA an Administrator.de -> nochmal 8000 KM (d.h. 16.000)
3) Antwort von Administrator.de an die USA -> +8000 KM -> 24.000 KM
4) Antwort vom Server USA an meinen Client -> +8.000 KM -> 32.000 KM

D.h. mein Paket braucht schonmal mind. 100 ms (für JEDES Paket über diese Strecke) wenn ich überall LWL-Kabel habe, die Router keine Verzögerung haben usw. Wenn man aber dazu sieht das die Transatlantik-Leitungen sicher nicht nur für mich frei sind UND das eine Anfrage zu einer Webseite sicher aus mehr als einem Paket besteht -> viel Spass sowas in einer Firma produktiv einzusetzen... Wenn das EDV-Büro höher als die 1ste Etage ist würde ich mir entweder nen Luftkissen unters Fenster legen oder flügel wachsen lassen...
Member: wiesi200
wiesi200 Aug 12, 2009 at 07:02:58 (UTC)
Goto Top
Zitat von @Corraggiouno:
meine vorstellung war die, dass die User sozusagen im internet
anonymisiert sind.

Vorstellung darf man ja haben. Du gibst den Leuten doch dann einen Freibrief. Normalerweise macht man das aber eher umgekehrt, man schreibt selbst mit was die anderen machen
Member: Corraggiouno
Corraggiouno Aug 14, 2009 at 07:54:50 (UTC)
Goto Top
Aber der IPCop beinhaltet ja auch den Squid! somit ist doch der IPcop nicht schlecht ist sozusagen ein rundum paket mit firewall, vpn, dhcp, proxy........etc
Member: Corraggiouno
Corraggiouno Aug 14, 2009 at 07:59:12 (UTC)
Goto Top
Zitat von @wiesi200:
Such mal bei google unter "squid windows" da werden sie
fündig. Wobei ich auch eher zu Linux tendieren würde.

Bei Suse Enterprise gibt's ein schönes grafisches
Einrichtmodul dazu. Bzw. das geht auch mit Webmin relativ schon.

Gibt es das grafische Einrichtungsmodul auch unter der normalen aktuellen Suse-Version 11.1?
Member: wiesi200
wiesi200 Aug 14, 2009 at 09:00:24 (UTC)
Goto Top
Kann sein, ansonsten gibt's Webmin. Da geht das ganze recht schon über eine Internetseite und das ist bei openSuse dabei.
Member: c-webber
c-webber Aug 15, 2009 at 01:07:05 (UTC)
Goto Top
Richtig, aber das was Du scheinbar vorhast kann auch IPCop nicht.
Wenns Dir um nen Proxy geht, würd ich erst mal damit anfangen Proxy allein zum laufen zu bekommen.
Danach kannst DU dir immer noch überlegen ob Du das kpl IPCop willst.

Wenn Ja, einfach die .conf Datei übernehmen und fertig