Re: ISP Proxy über ipchains?

To: debian-user-german@lists.debian.org
Subject: Re: ISP Proxy über ipchains?
From: Stefan Klein <st.kl@gmx.de>
Date: Sat, 23 Feb 2002 16:29:52 +0100
Message-id: <[🔎] 16ee7l-060KDgC@fmrl09.sul.t-online.com>
In-reply-to: <[🔎] 3C77A193.3040303@unet.univie.ac.at>
References: <[🔎] 3C758D65.2050309@unet.univie.ac.at> <[🔎] 3C77A193.3040303@unet.univie.ac.at>

Moin.

Am Samstag, 23. Februar 2002 15:05 schrieb Philipp Adaktylos,,,:
>  > Soweit ich das beurteilen kann ist die regel sinnfrei, Du
>  > definierst eine Regel für Packete die als Quelle das interne Netz
>  > (gehe ich mal von aus) haben und als Ziel proxy.irgendwas.net, was
>  > die 3128 soll kann ich mir denken, ipchains sicher nicht. Du sagst
>  > ipchains nicht was mit dem Packet passieren soll. Ich denke
>  > ipchains wirft auch eine Fehlermeldung wenn Du es so aufrufst.
>
> ipchains -A forward -p TCP -s 192.168.0.0/24 www -d
> proxy.irgendwas.net 3128
>
> Das www entspricht port 80 und 3128 ist der port vom proxy.
> Desswegen auch meine Hoffnung das es funktioniert weil ich ja interne
> sachen von port 80 auf den proxy leite mit der Regel. Fehlermeldung
> bekomme ich übrigens keine...

Ich hatte die syntax von iptables im Kopf, da definiert man den Port 
anders.

Du definierst doch gar nicht was mit dem Packet passieren soll. Das 
Target fehlt. Auserdem matcht obige Regel auch nicht die von dir 
gewünschten Pakete, der Webserver läuft auf port 80, nicht der Brauser, 
sonnst könnte ja nur jmd. mit root-rechten surfen.

So weit ich weiß kann man mit ipchains auch nur Pakete redirekten die 
entweder für den FW-Host bestimmt sind, oder das Ziel der Redirection 
der FW-Host ist. D.h. es währe nicht möglich traffic der aus 
irgendeinen Port 80 im I-Net geht auf Port 3128 vom rechner 
proxy.irgendwas.net umzuleiten. Aber da kann sicher ein ipchains-profi 
mehr zu sagen.


>
>  > Warum Installierst Du auf deinem gateway (falls er reichlich RAM
>  > hat) nicht Squid und benutzt den als Proxy? Wenn das dann
>  > funktioniert kannst Du ja das ipchains-howto nochmal lesen und
>  > überlegen wie Du aus dem Proxy einen transparenten Proxy machst.
>  > Auserdem könntest Du die Squid Doku durchforsten und schauen ob Du
>  > den Proxy des Providers als 'parent proxy' angeben kannst (Ob das
>  > einen Geschwindigkeitsvorteil bringt weiß ich nicht, man bedenke
>  > die zusätzlichen Hops).
>
> Pentium 1 60MHz mit 32MB RAM. wird wohl eher nicht funktionieren,
> oder?

Funktionieren tut das schon, ob es was bringt ist die Frage.

Für wieviele Clienten soll der Proxy denn sein?

Auserdem ist die Frage was der Proxy soll, 
falls Du z.b. nur verhindern möchtest das ein Debian-packetdas auf 
zwei Rechnern installiert wird auch zweimal heruntergeladen wird kannst 
Du Squid so konfigurieren das er nur Objekte >500k und <10MB 
zwischenspeichert und deine HW würde IMHO ausreichen.

Ich würde Dir raten Dir noch irgendwo 32-64MB Speicher für deinen 
Pentium aufzutreiben und einen eigenen Squid aufzusetzen, mit 
geeigneten logfile-analysern kannst Du dann schauen wieviele Cache 
Hits/misses Du hast und an der Config von Squid drehen.
(Der Prozessor sollte nicht das Problem sein, vorrausgesetzt es geht um 
weniger als 3 Clients)

Gruß,
-- 

Stefan

rm -rf :
remote mail, real fast.

Reply to:

References:
- ISP Proxy über ipchains?
  - From: "Philipp Adaktylos,,," <a9601252@unet.univie.ac.at>
- Re: ISP Proxy über ipchains?
  - From: "Philipp Adaktylos,,," <a9601252@unet.univie.ac.at>

Prev by Date: debs fu"r vmware-module die zum standard kernel passen
Next by Date: Re: server standorte
Previous by thread: Re: ISP Proxy über ipchains?
Next by thread: suspekter Syslog Eintrag
Index(es):
- Date
- Thread