endorphin
Goto Top

Proxyserver-Squid wegen Firewall überspringen

Hallo zusammen,

ich habe folgenden Aufbau:

Client hat als Proxy im Internet Explorer den Squid-Server eingetragen.
Der Squid-Server wiederrum "routet" nach erfolgreicher Prüfung & Cache zur
Firewall, die wiederrum prüft.

Die Regeln an der Firewall sind abhängig von der Client-IP und somit habe
ich ein Problem: Die Firewall sieht als Absender ja nur die IP vom Squid-Server,
hier brauche ich aber die Client-IP.

Ich habe es damit versucht:

acl test dst x.x.x.x
always_direct allow test

Leider ohne Erfolg. Die acl stimmt, Zugang funktioniert auch aber leider bekomme
ich nach wie vor die Proxy-IP statt der Client-IP an der Firewall. Ich weiß, der
Aufbau hört sich durch die beiden Prüfungen etwas komisch an, lässt sich
aber nicht vermeiden.

Hat jemand einen Tipp? Gibt es eventuell noch einen besseren Weg?

Danke,
endorphin

Content-ID: 93078

Url: https://administrator.de/forum/proxyserver-squid-wegen-firewall-ueberspringen-93078.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

45877
45877 28.07.2008 um 16:19:36 Uhr
Goto Top
was prüft denn die firewall?
lässt sich die prüfung nicht schon im squid realisieren?
thoger
thoger 28.07.2008 um 16:27:25 Uhr
Goto Top
Welche Firewallloesung verwendest Du? Hardware oder Software?
endorphin
endorphin 28.07.2008 um 16:28:23 Uhr
Goto Top
Die Firewall prüft auf bestimmte Client-IPs. Wenn eine darunter ist, bekommt dieser Client nur eingeschränkten Internet-Zugang auf ein paar Seiten.
Alle anderen bekommen vollen Zugang.

Das könnte man natürlich auch am Squid machen, weil ich die gleiche Konstellation mit der Firewall
an anderen Standorten auch so habe (die haben keinen Squid), will ich das auch hier so beibehalten.
Du kennst das sicher, sonst gibt es wieder eine Ausnahme zur Regel.

Deswegen dieser Aufbau.
endorphin
endorphin 28.07.2008 um 16:29:35 Uhr
Goto Top
Es kommt hier eine Hardwarelösung von Watchguard zum Einsatz.
Kann ich übrigends nur empfehlen!
harald21
harald21 29.07.2008 um 07:15:25 Uhr
Goto Top
Hallo,

an der Firewall kommt nur die IP-Adresse vom Squid an, alle anderen Prüfungen bzgl. Internetzugang der einzelenen Client-IP's MÜSSEN am Squid erfolgen.

mfg
Harald
endorphin
endorphin 29.07.2008 um 07:32:44 Uhr
Goto Top
Hallo Harald,

das hört sich sehr entgültig an, kann ich mir aber OSI-mäßig vorstellen.

Danke schonmal!