Re: Proxyserver und Co. einrichten
On Thursday 12 January 2006 23:27, Dirk Salva wrote:
> On Thu, Jan 12, 2006 at 09:54:53PM +0100, Christoph Haas wrote:
> > Wenn du kannst (und etwas Sicherheit benötigst), dann lass den Squid
> > aber im normalen "Forwarding"-Proxy-Modus laufen. Es ist eine
> > zunehmende Unsitte, "Interception"-Proxying zu veranstalten und sich
> > nur in Port 80-Traffic einzuschalten. Verteil eine proxy.pac und lass
> > die Clients
>
> Was heisst das? Erklär' bitte.
Interception-Caching bedeutet, dass du per iptables jeglichen Port
80-Traffic in Richtung Internet zum Squid zwingst. Das hat den Charme,
dass du keinen Browser im Netz extra konfigurieren musst, damit er den
Proxy benutzt. Dafür kannst du aber nur Port 80 dorthin schicken (einige
Websites laufen auf High-Ports) und hast keine vernünftige Sicherheit was
Authentifizierung oder ACLs angeht. Dieser Modus lohnt sich nur, wenn man
"ein bisschen cachen" will, ohne dass man den Squid ernsthaft zum
Traffic-Shapen oder für die Erhöhung der Netzwerksicherheit einsetzen
will.
Der "normale" Modus (forward proxying) bedeutet, dass die Browser den Proxy
in der Konfiguration eingetragen haben müssen, um ihn zu nutzen. Aus
Sicherheitsgründen verbietet man am Gateway jeglichen direkten Traffic und
gestattet nur dem Proxy, aus dem Internet Daten zu holen. So ist jeder
gezwungen, den Proxy zu benutzen.
Leider höre ich nur zu oft Kommentare von Systemadministratoren wie "ach,
es gibt noch einen anderen Modus als Interception?".
Gruß,
Christoph
--
Never trust a system administrator who wears a tie and suit.
Reply to: