[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Proxyserver und Co. einrichten

Hi, David...

On Thursday 12 January 2006 21:29, David Burau wrote:
> bei uns soll ein Netzwerk von ca 80 Rechnern ans Internet
> angeschlossen werden.
> HTTP und FTP sollen über einen Proxy laufen.
> Da dachte ich an Squid.

Sofern keine FTP-Uploads gewünscht sind, würde ich auch Squid nehmen.
Wenn du kannst (und etwas Sicherheit benötigst), dann lass den Squid aber 
im normalen "Forwarding"-Proxy-Modus laufen. Es ist eine zunehmende 
Unsitte, "Interception"-Proxying zu veranstalten und sich nur in Port 
80-Traffic einzuschalten. Verteil eine proxy.pac und lass die Clients 
direkt den Proxy nutzen. Dann klappt's auch sauber mit anderen Ports, über 
die HTTP gesprochen wird und auch HTTPS und FTP lassen sich einigermaßen 
kontrollieren. (Das Argument, sowas geht nicht in großen Netzen, lasse ich 
eher nicht gelten. Hier geht das in einem Netz mit 10.000 PCs.)

> Alles andere (Mails, Chats, Filesharing etc.) soll weiter an einen
> Router gereicht werden.

Halte ich sicherheitstechnisch in so einem großen Netzwerk für mich 
persönlich für indiskutabel. Allerdings denke ich da auch eher an 
Firmennetze. Da du von Filesharing sprichst, sieht das eher nach einem 
Uni-Netz o.ä. aus. In meinem Umfeld erlaube ich Kommunikation nur über 
Proxys bzw. Dienste. Mail macht ein MTA. HTTP-Zugriffe laufen über einen 
Proxy. Und nur, was man wirklich nicht über einen Applikation-Level-Proxy 
abgefackelt bekommt, lässt man direkt durch.

> Das würde ich mit iptables machen.
> Erst einmal soll alles an Diensten erlaubt sein.
> Jedoch würden wir gerne die Bandbreite für betsimmte Dienste
> einschränken.

Bau dir ein mehr oder weniger simples Traffic-Shaping-Skript. Im 
Linux-Magazin war vor wenigen Monaten etwas dazu zu lesen. Relativ einfach 
geht das sonst mit tcng (http://tcng.sourceforge.net/).

Mit Squid kannst du auch mit Delay-Pools arbeiten, um die erlaubte 
Bandbreite nach bestimmten Kriterien (steuerbar über ACLs) einzuschränken.

Viel Erfolg und Gruß,
 Christoph
-- 
Never trust a system administrator who wears a tie and suit.
Reply to: