Re: Interaktive Firewall für transparenten Proxy
Hallo,
Am Dienstag 03 Juni 2008 17:16:39 schrieb M. Houdek:
> [Problembeschreibung in der ersten Mail]
>
> Unser Lösungsansatz (bisher nur gedanklich):
> Das interne Gateway schickt bei einem eingehenden HTTPS-Paket für eine neue
> Verbindung (iptables: --status NEW) eine entsprechende eigene HTTPS-Anfrage
> durch den Squid. Kommt ein Fehler zurück, wird der Verbindungsaufbau
> abgelehnt. Klappt die Verbindung, soll die Firewall das Paket am externen
> Squid vorbei direkt ins Internet schicken. Für alle folgenden Pakete dieser
> Verbindung ist die eigene Firewall eh offen.
>
> Nun die Frage: Wie kann man so ein interaktives Verhalten von iptables
> realisieren?
>
> Zur Not könnte man bei erfolgreicher HTTPS-Test-Verbindung auch die
> Firewall für eine bestimmte Zeit zu diesem Ziel öffnen und eine
> (Fehler-)Meldung an den Browser zurückschicken, die dazu auffordert, die
> Seite erneut aufzurufen (F5 drücken). Zwar nicht ganz elegant, aber eine
> Alternative.
Nachtrag:
Mir scheint, dass der Browser (zumindest Epiphany ;-) die Verbindungsanfrage
nach kurzer Zeit automatisch wiederholt. Verhalten sich alle Browser so?
Außerdem: Es könnte ja auch statt des erwarteten SSL-Verbindungsaufbaus eine
HTML-Seite zurück geschickt werden, die einfach wieder auf das ursprüngliche
Ziel weiterleitet. Vorausgesetzt, der Browser reagiert in diesem Zustand
(SSL-Verbindungsaufbau) auf eine statt dessen zurückkommende HTML-Seite. Aber
das lässt sich ja schnell testen.
> Oder gibt es evtl. andere Lösungen?
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: