Proxy einrichten unter Redhat

Chrisi99 · 16.12.2003, 18:05

Ich und ein Freund machen ab und zu eine kleine Lan im Bekannten-/Freundeskreis.
Mit dabei ist auch immer ein privater Internetanschluss, der leider ein 10GB Transferlimit hat (*ärger*

) da bei der letzten Lan irgendein netter Mensch sein P2P laufen hatte (reine Vermutung) kam am tag darauf die Providermitteilung dass der Account für das Ende des Monats gesperrt wäre wegen Überschreiten.. eh schon wissen

da gutes Zureden meistens nichts hilft, dachte ich mir den RedHat pc der sowieso als Server läuft auch noch als Proxy einzurichten, um so das Downloaden zu verhindern das Surfen aber zu erlauben, bzw das Downloadkontingent zu beschränken (evt mit Anmeldung etc)
muss nicht sicher sein, die Anwesenden sind zum Großteil spielehirnis ohne kriminelle Bestreben (hoff ich halt

)

Was ich über das Thema bei google finden konnte war mir meistens (leider) zu komplex, da ich ein Neuling auf dem gebiet bin.. daher mein Anliegen:
ich bräuchte

a) einen Vorschlag für ein gutes Buch zu dem Thema,

b) einen Link mit einer möglichst einfachen Step-by-Step Anleitung zu dem Thema,

oder c) eine Anleitung von jemandem Hier im Forum der ein ähnliches Problem schon gelöst hat

mfg
Chrisi99

spunz · 16.12.2003, 19:04

http://www.squid-handbuch.de/

Chrisi99 · 16.12.2003, 19:17

danke Herr Senator

wie lange wird man am anfang (ca) brauchen um das Aufzusetzen ?? ich habe leider keine Zeit es jetzt zu versuchen, und wie gesagt zwar Kenntnisse vom Linux-Alltagsbetrieb aber keine weitergehenden Netzwerktechniken

mfg

Sloter · 16.12.2003, 19:27

Nur ein Proxy ist auch nicht gut, wenn jemand den Router als Gateway eingibt, kann er erst raus.
IMHO würde ich mit IPTables die Ports sperren und den Router direkt am Linuxserver auf eine zweite Nic anhängen.

So kann keiner direkt den Router ansprechen und für IPTables gibts eine Menge fertige Rules im Netz.
Die Installation sollte nicht zu schwer sein.

Perfekt wäre halt ein transparenter Proxy mit Squid, spielt alles was du benötigst.

Sloter

Chrisi99 · 16.12.2003, 20:04

Deine Konfiguration ist genau das was ich vorhabe

klingt sehr vielversprechend, ich werde schauen ob ich es am Wochenede schaffe es auszuprobieren

btw: was heißt "transparenter Proxy" ??

mfg

CM²S · 16.12.2003, 21:30

#3.10.1. Transparenter Proxy
Ein transparenter Proxy ist ein Zwischenspeicher, der von den Benutzern nicht extra im Browser eingestellt werden muss. Im großen und Ganzen funktioniert das derart, dass ihre Anfragen "heimlich" über den Proxy geleitet werden, ohne dass sie das beeinflussen können. Der Vorteil liegt auf der Hand. Die Nutzer müssen im Browser keinen Proxy eintragen, was gerade bei einer größeren Anzahl von Rechnern viel Arbeit ersparen kann.

Squid ist in der Lage, transparentes Proxying anzubieten. Dazu werden in der Konfigurationsdatei die folgenden Optionen aktiviert.

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Ferner muss noch die Firewall angepaßt werden. Dazu werden alle Pakete, die auf dem internen Netzgeräten ankommen (hier: eth0 und eth1) mit Zielport 80 auf den Proxy geleitet. Die Regel sieht in diesem Fall so aus und sollte am besten vor allen anderen Regeln zum externen Netzwerk stehen:

#loki Net
LAN="192.168.0.0/16"
#Interface (LAN)
i="eth0"
$IPTABLES -A PREROUTING -t nat -i $i -p tcp -d ! $LAN --dport 80 \\
-s $LAN -j REDIRECT --to-port 3128

und

# IP-Forwarding aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward

und um in einem geteilten Netzwerk den download beschränken nimmst du
den auch den squid.

auszug aus meiner

acl all src 192.168.0.0/16
acl dateien urlpath_regex -i \.exe \.zip \.rar \.com \.mp3
delay_pools 1
delay_class 1 1
delay_parameters 1 1024/1024
delay_access 1 allow dateien
delay_access 1 deny all

damit ist normales Surfen möglich , aber nur minimaler download.
oder

QOS: Quality of Service HOWTO befragen

http://www.linuxfaq.de/f/cache/1266.html

Is aber vielleicht a bisserl kompliziert, da vielleicht der Kernel neu kompiliert werden muss.

Mehr fallt ma net ein.

Ciao
CM²S

Chrisi99 · 16.12.2003, 22:04

ich nehme mal an dass man bestimmte IPs (im besonderen die Eigene

) von solchen Regeln ausnehmen kann, oder ??

sehr interessantes Projekt :
http://www.gubler.cjb.net/elwms/uebersicht.php

Debian schlummert eh hier auf meiner Platte vor sich hin, könnt ich reaktivieren

Danke auf jeden Fall schon mal für die viele Hilfe... ich nerv wieder sobald ich gescheitert bin

mfg

CM²S · 17.12.2003, 01:38

is ok, da siehst du was du dir angetan hast. so mit husch pfusch ist nix.
Planung

is alles auch wenn's nur eine HomeFirewall/Router Maschine geht.

Ciao
CM²S

P.S QOS kann ich nur empfehlen, ein Bekannter hat das zu Hause in seinem Zinshaus für alle Parteien eingerichtet.Alle surfen über einen Breitbandanbieter und XDSL , natürlich braucht er hinundwieder etwas mehr bandbreite als die anderen.

16.12.2003, 18:05	#1
Chrisi99 Inventar Registriert seit: 22.12.2002 Alter: 40 Beiträge: 2.644 Mein Computer	Proxy einrichten unter Redhat Ich und ein Freund machen ab und zu eine kleine Lan im Bekannten-/Freundeskreis. Mit dabei ist auch immer ein privater Internetanschluss, der leider ein 10GB Transferlimit hat (ärger ) da bei der letzten Lan irgendein netter Mensch sein P2P laufen hatte (reine Vermutung) kam am tag darauf die Providermitteilung dass der Account für das Ende des Monats gesperrt wäre wegen Überschreiten.. eh schon wissen da gutes Zureden meistens nichts hilft, dachte ich mir den RedHat pc der sowieso als Server läuft auch noch als Proxy einzurichten, um so das Downloaden zu verhindern das Surfen aber zu erlauben, bzw das Downloadkontingent zu beschränken (evt mit Anmeldung etc) muss nicht sicher sein, die Anwesenden sind zum Großteil spielehirnis ohne kriminelle Bestreben (hoff ich halt ) Was ich über das Thema bei google finden konnte war mir meistens (leider) zu komplex, da ich ein Neuling auf dem gebiet bin.. daher mein Anliegen: ich bräuchte a) einen Vorschlag für ein gutes Buch zu dem Thema, b) einen Link mit einer möglichst einfachen Step-by-Step Anleitung zu dem Thema, oder c) eine Anleitung von jemandem Hier im Forum der ein ähnliches Problem schon gelöst hat mfg Chrisi99 ____________________________________ Der Unterschied zwischen Theorie und Praxis ist, das es in der Theorie keinen Unterschied zwischen Theorie und Praxis gibt, in der Praxis aber schon. Wer schreibt, der bleibt!

16.12.2003, 20:04	#5
Chrisi99 Inventar Registriert seit: 22.12.2002 Alter: 40 Beiträge: 2.644 Mein Computer	Deine Konfiguration ist genau das was ich vorhabe klingt sehr vielversprechend, ich werde schauen ob ich es am Wochenede schaffe es auszuprobieren btw: was heißt "transparenter Proxy" ?? mfg ____________________________________ Der Unterschied zwischen Theorie und Praxis ist, das es in der Theorie keinen Unterschied zwischen Theorie und Praxis gibt, in der Praxis aber schon. Wer schreibt, der bleibt!

16.12.2003, 21:30	#6
CM²S Elite Registriert seit: 27.03.2000 Ort: Wien Alter: 55 Beiträge: 1.168	..... #3.10.1. Transparenter Proxy Ein transparenter Proxy ist ein Zwischenspeicher, der von den Benutzern nicht extra im Browser eingestellt werden muss. Im großen und Ganzen funktioniert das derart, dass ihre Anfragen "heimlich" über den Proxy geleitet werden, ohne dass sie das beeinflussen können. Der Vorteil liegt auf der Hand. Die Nutzer müssen im Browser keinen Proxy eintragen, was gerade bei einer größeren Anzahl von Rechnern viel Arbeit ersparen kann. Squid ist in der Lage, transparentes Proxying anzubieten. Dazu werden in der Konfigurationsdatei die folgenden Optionen aktiviert. httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Ferner muss noch die Firewall angepaßt werden. Dazu werden alle Pakete, die auf dem internen Netzgeräten ankommen (hier: eth0 und eth1) mit Zielport 80 auf den Proxy geleitet. Die Regel sieht in diesem Fall so aus und sollte am besten vor allen anderen Regeln zum externen Netzwerk stehen: #loki Net LAN="192.168.0.0/16" #Interface (LAN) i="eth0" $IPTABLES -A PREROUTING -t nat -i $i -p tcp -d ! $LAN --dport 80 \\ -s $LAN -j REDIRECT --to-port 3128 und # IP-Forwarding aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward und um in einem geteilten Netzwerk den download beschränken nimmst du den auch den squid. auszug aus meiner acl all src 192.168.0.0/16 acl dateien urlpath_regex -i \.exe \.zip \.rar \.com \.mp3 delay_pools 1 delay_class 1 1 delay_parameters 1 1024/1024 delay_access 1 allow dateien delay_access 1 deny all damit ist normales Surfen möglich , aber nur minimaler download. oder QOS: Quality of Service HOWTO befragen http://www.linuxfaq.de/f/cache/1266.html Is aber vielleicht a bisserl kompliziert, da vielleicht der Kernel neu kompiliert werden muss. Mehr fallt ma net ein. Ciao CM²S ____________________________________ \"wann amoi de blaun denen grean an rodn dewich ausroin, daunn siach i schwoaz\" Gedicht aus \"Eigfleischte Wegetaria und aundare meakwürdikeiten, Andreas Nastl http://lichtschwarz.tv

16.12.2003, 22:04	#7
Chrisi99 Inventar Registriert seit: 22.12.2002 Alter: 40 Beiträge: 2.644 Mein Computer	ich nehme mal an dass man bestimmte IPs (im besonderen die Eigene ) von solchen Regeln ausnehmen kann, oder ?? sehr interessantes Projekt : http://www.gubler.cjb.net/elwms/uebersicht.php Debian schlummert eh hier auf meiner Platte vor sich hin, könnt ich reaktivieren Danke auf jeden Fall schon mal für die viele Hilfe... ich nerv wieder sobald ich gescheitert bin mfg ____________________________________ Der Unterschied zwischen Theorie und Praxis ist, das es in der Theorie keinen Unterschied zwischen Theorie und Praxis gibt, in der Praxis aber schon. Wer schreibt, der bleibt!

17.12.2003, 01:38	#8
CM²S Elite Registriert seit: 27.03.2000 Ort: Wien Alter: 55 Beiträge: 1.168	der link..... is ok, da siehst du was du dir angetan hast. so mit husch pfusch ist nix. Planung is alles auch wenn's nur eine HomeFirewall/Router Maschine geht. Ciao CM²S P.S QOS kann ich nur empfehlen, ein Bekannter hat das zu Hause in seinem Zinshaus für alle Parteien eingerichtet.Alle surfen über einen Breitbandanbieter und XDSL , natürlich braucht er hinundwieder etwas mehr bandbreite als die anderen. ____________________________________ \"wann amoi de blaun denen grean an rodn dewich ausroin, daunn siach i schwoaz\" Gedicht aus \"Eigfleischte Wegetaria und aundare meakwürdikeiten, Andreas Nastl http://lichtschwarz.tv

16.12.2003, 19:04	#2
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	http://www.squid-handbuch.de/

16.12.2003, 19:17	#3
Chrisi99 Inventar Registriert seit: 22.12.2002 Alter: 40 Beiträge: 2.644 Mein Computer	danke Herr Senator wie lange wird man am anfang (ca) brauchen um das Aufzusetzen ?? ich habe leider keine Zeit es jetzt zu versuchen, und wie gesagt zwar Kenntnisse vom Linux-Alltagsbetrieb aber keine weitergehenden Netzwerktechniken mfg ____________________________________ Der Unterschied zwischen Theorie und Praxis ist, das es in der Theorie keinen Unterschied zwischen Theorie und Praxis gibt, in der Praxis aber schon. Wer schreibt, der bleibt!

16.12.2003, 19:27	#4
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Nur ein Proxy ist auch nicht gut, wenn jemand den Router als Gateway eingibt, kann er erst raus. IMHO würde ich mit IPTables die Ports sperren und den Router direkt am Linuxserver auf eine zweite Nic anhängen. So kann keiner direkt den Router ansprechen und für IPTables gibts eine Menge fertige Rules im Netz. Die Installation sollte nicht zu schwer sein. Perfekt wäre halt ein transparenter Proxy mit Squid, spielt alles was du benötigst. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)