Re: Squid-Nutzung erzwingen

To: user@skolelinux.de
Subject: Re: Squid-Nutzung erzwingen
From: Maximilian Wilhelm <max@rfc2324.org>
Date: Tue, 18 Jan 2005 00:30:23 +0100
Message-id: <[🔎] 20050117233023.GC545@rfc3514.org>
Mail-followup-to: Maximilian Wilhelm <max@rfc2324.org>, user@skolelinux.de
In-reply-to: <[🔎] 200501172118.06021.rgx@gmx.de>
References: <[🔎] 20050117204748.28577e2f.skolelinux@fernmeldung.de> <[🔎] 200501172118.06021.rgx@gmx.de>

Am Montag, den 17. Januar hub Ralf Gesel|ensetter folgendes in die Tasten:

> Am Montag, 17. Januar 2005 20:47 schrieb Arnulf:
> > Wie geht das mit Squid- muss bei den Browsern der Proxyserver
> > eingestellt werden, oder geht alles, was an gateway geht (10.0.2.1)
> > standardmäßig über squid?

Wenn kein Browser eingestellt ist, werden alle Verbindungen ueber das
gateway geroutet.

[...]
> Alternativ könntest du dem Tjener eine 2. NIC verpassen für das Internet 
> - aber dann musst du vermutlich etwas frickeln. Wenn dein Gateway keine 
> Möglichkeit hat, eine Liste zugelassener IPs zu definieren, könntest du 
> ggf. die IP des Gateway in ein anderes Netz ändern -- und dem Tjener 
> beibringen, über eine virtuelle eth0:1 darüber rauszugehen. Alle 
> anderen Rechner könnten mit diesem Netz dann nichts anfangen.

Sorry, das ist Security by Obscurity, ergo Kaese.
Wenn Leute eigene Rechner anstoepseln koennen oder root werden, haben
sie trivial die Moeglichkeit die IPs anzupassen und gut ist.
 => Verloren.

Es gibt einige sichere Optionen:

 1. zweite Netzwerkkarte in den Tjener und die 10.0.2.1 als zweite IP
    auf die interne NIC

    Allen Verbindungen, die von innen nach <irgendwo aussen> Port 80 wollen
    a) per tcp-reset (schnell) oder icmp-admin-prohibited ("sauber") abblocken
        => Wer keine Proxy nutzt hat verloren.
    b) auf Port 3128 redirecten (transparenter Proxy, kann dann leider
       keine Authentifikation mehr)
       
   Dahinter kann man dann einen 0815-DSL-WLAN-Wollmilchsau-Router
   nehmen.

 2. Fall man ne Linux-Kiste als Router hat, kann man da mit iptables
 spielen und ggf. nen squid darauf aufsetzen und dann die DNS-Aliase
 umbiegen oder - je nach Laune - die squids kaskadieren.

 
> Ohne Gewähr, was die letzten Bemerkungen angeht

Sicherheit durch verschiene IP-Bereiche in einem physikalischen Netz zu
gewinnen ist generell eine schlechte Idee.
Ein simples traceroute oder auch tcpdump lassen so etwas auffallen und
dann ist es meist nur noch eine Frage der Zeit, bis das umgangen ist.

Ciao
Max
-- 
	Follow the white penguin.

Reply to:

Follow-Ups:
- Re: Squid-Nutzung erzwingen
  - From: Albrecht Frank <abfrankffm@web.de>

References:
- Squid-Nutzung erzwingen
  - From: Arnulf <skolelinux@fernmeldung.de>
- Re: Squid-Nutzung erzwingen
  - From: Ralf Gesel|ensetter <rgx@gmx.de>

Prev by Date: Re: Warum veranlasst die deutsche Regierung nicht sowas?
Next by Date: Re: Squid-Nutzung erzwingen
Previous by thread: Re: Squid-Nutzung erzwingen
Next by thread: Re: Squid-Nutzung erzwingen
Index(es):
- Date
- Thread