Re: Proxyserver und Co. einrichten

[Christoph Haas <haas@debian.org>]

On Thursday 12 January 2006 23:27, Dirk Salva wrote:
> On Thu, Jan 12, 2006 at 09:54:53PM +0100, Christoph Haas wrote:
> > Wenn du kannst (und etwas Sicherheit benötigst), dann lass den Squid
> > aber im normalen "Forwarding"-Proxy-Modus laufen. Es ist eine
> > zunehmende Unsitte, "Interception"-Proxying zu veranstalten und sich
> > nur in Port 80-Traffic einzuschalten. Verteil eine proxy.pac und lass
> > die Clients
>
> Was heisst das? Erklär' bitte.

Interception-Caching bedeutet, dass du per iptables jeglichen Port 
80-Traffic in Richtung Internet zum Squid zwingst. Das hat den Charme, 
dass du keinen Browser im Netz extra konfigurieren musst, damit er den 
Proxy benutzt. Dafür kannst du aber nur Port 80 dorthin schicken (einige 
Websites laufen auf High-Ports) und hast keine vernünftige Sicherheit was 
Authentifizierung oder ACLs angeht. Dieser Modus lohnt sich nur, wenn man 
"ein bisschen cachen" will, ohne dass man den Squid ernsthaft zum 
Traffic-Shapen oder für die Erhöhung der Netzwerksicherheit einsetzen 
will.

Der "normale" Modus (forward proxying) bedeutet, dass die Browser den Proxy 
in der Konfiguration eingetragen haben müssen, um ihn zu nutzen. Aus 
Sicherheitsgründen verbietet man am Gateway jeglichen direkten Traffic und 
gestattet nur dem Proxy, aus dem Internet Daten zu holen. So ist jeder 
gezwungen, den Proxy zu benutzen.

Leider höre ich nur zu oft Kommentare von Systemadministratoren wie "ach, 
es gibt noch einen anderen Modus als Interception?".

Gruß,
 Christoph
-- 
Never trust a system administrator who wears a tie and suit.