Hallo!
In einem Unternehmen setze ich Squid zur Filterung des HTTP-Verkehrs ein.
Dazu muss dieser im Browser des entsprechenden Clients jedoch von Hand eingetragen werden.
Auf firmeninternen Rechnern stellt dies natürlich kein Problem dar. Nehmen wir hierzu mal exemplarisch folgende Squid-Konfiguration an:
192.168.0.1:8080
Ich möchte nun einen WLAN-Accesspoint ins Netz hängen, der selbst IPs vergibt, sodass der Accesspoint die WLAN-Clients selbst verwaltet und diese in ihrem eigenen Netz liegen.
Grund für den AP: Kunden im Warteraum sollen ihn nutzen können, sich also einfach "schnell" mit ihm verbinden - die Zugangsdaten werden entsprechend ausgehangen - und surfen können.
Natürlich möchte ich ihnen nicht die Umkonfiguration ihrer Browser zumuten, sie sollen aber dennoch über denselben Proxy surfen wie alle anderen Mitarbeiter.
Meine Frage also nun: Wie bekomme ich es hin, dass die Pakete aus dem WLAN-Netz automatisch über den Proxy geroutet werden, sodass ich diesen nicht erst im Browser eintragen muss?
MfG
mod3
WLAN Accesspoint + Squid
Re: WLAN Accesspoint + Squid
Grenze die IP-Vergabe ein, auf einen IP-Bereich "Warteraum".
Alle Pakete aus "Warteraum" werden an Proxy:Port umgeleitet.
Eventuell gibt es dafür auch eine Einstellung im WLAN-Router,
entweder, daß er die Proxy-Einstellung bei der DHCP-Vergabe austeilt, oder selbst eine NAT-Tabelle pflegt.
Alle Pakete aus "Warteraum" werden an Proxy:Port umgeleitet.
Eventuell gibt es dafür auch eine Einstellung im WLAN-Router,
entweder, daß er die Proxy-Einstellung bei der DHCP-Vergabe austeilt, oder selbst eine NAT-Tabelle pflegt.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
mod3
Re: WLAN Accesspoint + Squid
Das ganze lässt sich sicher auch auf dem Gateway (+ Squid) selbst regeln?
Also in der Form:
Pakete vom Accesspoint -> localhost:8080
Nur wie bringe ich das iptables bei?
Also in der Form:
Pakete vom Accesspoint -> localhost:8080
Nur wie bringe ich das iptables bei?
Re: WLAN Accesspoint + Squid
Code: Alles auswählen
iptables -t nat -I PREROUTING $LINE -i $LINK -s $WLAN -j REDIRECT --to-ports 8080mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
mod3
Re: WLAN Accesspoint + Squid
Ok, entschuldige die vielleicht naive Frage, aber was gibt die Variable $LINE an?
Re: WLAN Accesspoint + Squid
'man iptables'
Die "[rulenum]", also die Zeile in der Regelkette ("chain"), an der diese Regel eingeführt wird,
ohne eine solche setzt '-I' die neue Regel an den Anfang der "chain", '-A' fügt an das Ende an.
Code: Alles auswählen
-I, --insert chain [rulenum] rule-specification
Insert one or more rules in the selected chain as the given rule number. So, if the rule number is 1, the rule or
rules are inserted at the head of the chain. This is also the default if no rule number is specified.
ohne eine solche setzt '-I' die neue Regel an den Anfang der "chain", '-A' fügt an das Ende an.
Code: Alles auswählen
iptables -vn -L -t [nat|filter|mangle]
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
mod3
Re: WLAN Accesspoint + Squid
Ok, aber ansich ist es doch kein Problem, einfach -A zu benutzen?
Notfalls könnte man die Zeile im Skript ja einfach vorziehen und sie stünde am Anfang der Kette... Oder gibt es da einen speziellen Grund?
Danke übrigens erstmal für die schnelle Hilfe
Edit: Für normales Surfen genügt es dann doch, die Ports 80 und 443 weiterzuleiten?
Notfalls könnte man die Zeile im Skript ja einfach vorziehen und sie stünde am Anfang der Kette... Oder gibt es da einen speziellen Grund?
Danke übrigens erstmal für die schnelle Hilfe
Edit: Für normales Surfen genügt es dann doch, die Ports 80 und 443 weiterzuleiten?
Re: WLAN Accesspoint + Squid
Wenn Du auf die schnelle in ein bestehendes Regelwerk eine Regel an richtiger Stelle einsetzen willst,... Oder gibt es da einen speziellen Grund?
entsprechend mit '-D ... $LINE'.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: WLAN Accesspoint + Squid
Also um die Proxy Konfiguration automatisch zu erkennen gibt es eigentlich schon ein passendes Protokoll.
http://de.wikipedia.org/wiki/Web_Proxy_ ... y_Protocol
Die Vorgehensweise ist so das man im DNS (oder per DHCP) "wpad" als hostname übergibt und dann eine Konfigurationsdatei (PAC) auf einem Webserver vom Browser einlesen lässt. Das funktioniert eigentlich in allen aktuellen Browsern schon seit Jahren zuverlässig und macht das Eintragen von Proxys im Browser unnötig.
http://de.wikipedia.org/wiki/Web_Proxy_ ... y_Protocol
Die Vorgehensweise ist so das man im DNS (oder per DHCP) "wpad" als hostname übergibt und dann eine Konfigurationsdatei (PAC) auf einem Webserver vom Browser einlesen lässt. Das funktioniert eigentlich in allen aktuellen Browsern schon seit Jahren zuverlässig und macht das Eintragen von Proxys im Browser unnötig.
Gruß Athlux