Transparenter Proxy

Der_Marco
Ich bräuchte mal dringend eine antwort zu folgendem Problem.

Ich benutze den Jana-server und möchte ihn jetzt als transparenten Proxy einrichten. leider habe ich noch nicht rausbekommen wie das genau funktioniert.

Könnt ihr mir vielleicht da helfen und mir sowas wie eine anleitung zur lösung dieses Problems geben?

Danke schon mal.

Der_Marco
Waldo
Hallo,
was ist ein transparenter Proxy? Brauchst Du vielleicht einen Router?

Jana ist kein Router!

Gruss Waldo
katip
Hallo,

Wenn du willst dass Leute aus Inet deinen Server als Proxy einsetzen, HTTP Proxy an 0.0.0.0 binden genügt.
Jana sollte Clientrequests transparent - nehme ich an, nie probiert - weiterleiten.
mikew
Ein transparenter Proxy ist prinzipiell ein Proxy, den man nicht beim Client einrichten muss:
Eine Router leitet alle Anfragen des Clients an Port 80 eines Hosts über den Proxy um, so dass der Client gar nicht merkt, dass er "geproxyt" (uha *schluck*) wird.

Ob allerdings die Windows Routing-Möglichkeiten und Janas Fähigkeiten dazu ausreichen, können wir ja in diesem Thread klären: Ich zumindest kenne keine Infos zur transparenten Jana.

Das erste (und wahrscheinlich auch brauchbare) was mir in Google dazu entgegenhüpft:
http://en.tldp.org/HOWTO/TransparentProxy.html eine Anleitung für Linux Squid aus der man zumindest die Prinzipien verstehen kann.
Der_Marco
Ja, das habe ich auch gedacht. aber so richtig haut das nicht so hin, wie ich es mir dachte. Deswegen bräuchte ich irgendwo eine genaue anleitung dafür. mit transparenten proxy soll ja über jana funktionieren.

Aber danke.
katip
Hallo,

Dieser Test sagt dass Jana-HTTP-Proxy transparent ist. http://www.samair.ru/proxy/proxychecker/
Der_Marco
Ja, der test ist ja schön. aber wie bekomme ich meinen jana server erstmal transparent? Ich weiss ja so schon, wann er transparent ist. Und bis jetzt ist er es bei mir noch nicht. deswegen bräuchte ich eine anleitung, was man man einstellen muss um ihn transparent zu bekommen.
katip
Und was sagt der Test bei dir?
mikew
Der Test sagt doch nur, dass ich hinter einem Proxy sitze: Der kann von außen doch nicht beurteilen, wie ich meinen Proxy (transparent, d.h. über verbogene Routen, oder eben direkt im Client konfiguriert) eingerichtet hab.


Zitat:
Der_Marco:
deswegen bräuchte ich eine anleitung, was man man einstellen muss um ihn transparent zu bekommen.

Geduld, Geduld. Wenn es eine Anleitung gibt, dann steht sie bestimmt nach etwas Diskussion am Ende dieses Threads Augenzwinkern
Bisher denke ich, wurde das einfach noch nicht behandelt. Also abwarten...

Meine (vorläufige) Meinung: Mit Bordmitteln (WIndows 2000/XP) dürfte es kaum klappen, weil Windows kein Werkzeug mitbringt, Routen abhängig vom Zielport zu routen. Oder doch?
Der_Marco
Mit Windows als BS funktioniert es bestimmt. Habe bis jetzt an meinem Server der Windows 2000 Pro als BS hat schon jana eingerichtet und DHCP erfolgreich eingerichtet extra. so das in meinem netz es bis jetzt so habe, das ich nur netzkabel reinstecken brauch und IP und standard gateway etc. alles bekommen.

Nun will ich halt nur noch, das ich zum surfen nicht extra die IP und den Port beim Browser einrichten muss.

Und da ich schon soweit gekommen bin, schätze ich, das es für diese prob auch noch eine lösung ohne Script gibts, sonder lösung über Jana!
S.K.
Zitat:
mikew:
Der Test sagt doch nur, dass ich hinter einem Proxy sitze:
Ich würde sagen, mit diesem Test kann man prüfen, ob der Client durch den Proxy gegenüber dem Server vollständig anonymisiert wird.

Wie Mike schon richtig ausführte ist ein transparenter Proxy ein solcher, der im Client nicht eingetragen werden braucht. Vielmehr wird der Datenverkehr automatisch (anhand definierter Regeln z.B. externe Ziel-IP+Zielport=80) über diesen geleitet. Ein vollständig transparenter Proxy gibt sogar (genau wie ein Router) die IP des Clients an den Server weiter (Beispiel: Zwangsproxys von ISPs). Das macht in einem LAN mit privaten IP-Adressen beim Zugriff auf das Internet natürlich keinen Sinn.

Zitat:
Der_Marco:
Nun will ich halt nur noch, das ich zum surfen nicht extra die IP und den Port beim Browser einrichten muss.
Endlich sagst Du mal deutlich, was Du erreichen willst!
Mit Jana allein geht das nicht! Man könnte über einen Router/eine Firewall den Datenverkehr umbiegen. Aber warum so kompliziert? Entweder Du nutzt gleich einen Router (z.B. ICS von Windows) oder Du machst es doch per Skript (z.B. Windows-Startskript oder Browserkonfigurationsskript).

Gruß
Steffen
mikew
Zitat:
S.K.
Zitat:
Der_Marco:
Nun will ich halt nur noch, das ich zum surfen nicht extra die IP und den Port beim Browser einrichten muss.
Endlich sagst Du mal deutlich, was Du erreichen willst!

Und ich hab mich auf die Bärenjagd gefreut. Meinen lustigen Hut aufgesetzt und mein Gewehr geputzt. Jetzt jagen wir nur noch Mäuse. traurig unglücklich
Der_Marco
Schön und gut. Wenn ich das mit router machen könnte. Laut internetquellen kann man jana2-server als transparenten Proxy konfigurieren und somit bin ich halt auf der suche nach dem.

Über Script will ich es nicht machen, weil es mir zum einen etwas zu viel aufwand ist und zum zweiten ist es ein Sicherheitsmanko.
S.K.
Zitat:
Der_Marco:
Laut internetquellen kann man jana2-server als transparenten Proxy konfigurieren und somit bin ich halt auf der suche nach dem.
Poste doch mal diese Quelle!
Matneu
Vorausgesetzt Du besitzt das Netzwerkwissen: Theoretisch musst Du das Gateway (oder die Routen von Hand) so konfigurieren, dass alle Anfragen bei Jana landen. Jana muss dann natürlich auf Port 80 laufen, alles andere macht keinen Sinn. Das war's in meiner Theorie schon. Ob Jana dann allerdings wirklich die Anfragen annimmt, weiterleitet und zurückgibt wage ich dennoch zu bezweifeln aber versuch's einfach.

So far...
Matthias
S.K.
Zitat:
Matneu:
...Theoretisch musst Du das Gateway ... so konfigurieren, dass alle Anfragen bei Jana landen. Jana muss dann natürlich auf Port 80 laufen ...Ob Jana dann allerdings wirklich die Anfragen annimmt, weiterleitet und zurückgibt wage ich dennoch zu bezweifeln aber versuch's einfach.

Du zweifelst zu Recht! Ich hatte im Zusammenhang mit dem Wunsch von cxm nach einem Reverse-Proxy schon mal eine ähnliche Idee. Siehe hier: Jana als Reverse Proxy?

Beide Vorhaben scheitern letzlich bereits daran, dass sich die Syntax u.a. des get-Befehls bei Proxyverbindungen und bei direkten http-Verbindungen etwas unterscheiden.

Beispiel für eine direkte Anfrage an auf die index.htm von web.de:
GET /index.htm HTTP/1.1
Accept: ...
User-Agent: ...
Host: web.de
Connection: Keep-Alive
...

Beispiel für eine Aufforderung an den Proxy die index.htm von web.de aufzurufen:
GET http://web.de/index.htm HTTP/1.1
Accept: ...
User-Agent: ...
Host: web.de
Proxy-Connection: Keep-Alive
...

Deshalb meldet der Janaproxy "die angegebene Adresse ist keine Internetadresse", wenn man ihn wie einen Webserver anspricht.


In der hier von Dir angedachten Konfiguration für einen transparenten Proxy käme dann noch hinzu, dass Jana die Datenpakete gar nicht auswerten würde! Wenn der Janaserver als (Standard-)Gateway eingetragen wäre und der Client nach einer DNS-Auflösung feststellt, dass er die Ziel-IP nicht direkt erreichen kann, sondern nur über ein Gateway, dann erzeugt er Datenpakete, die zwar die MAC-Adresse des Gateways als Ziel beinhalten - nicht jedoch auch dessen IP-Adresse. Als Ziel-IP steht weiterhin die des eigentlichen Ziels im Header. Der Janaproxy wertet aber nur Datenverkehr aus, dessen Ziel-IP seine eigene ist. Das gilt selbst dann, wenn der Proxy an die 0.0.0.0 gebunden ist (ich hab es getestet). Man müsste also zusätzlich dafür sorgen, dass jede Namensauflösung für Hosts außerhalb des LAN die IP des Janaservers zurückliefert. Ich wüßte auf Anhieb gar nicht wie...


Gruß
Steffen
dr.watson
Zitat:
Original von S.K.
Man müsste also zusätzlich dafür sorgen, dass jede Namensauflösung für Hosts außerhalb des LAN die IP des Janaservers zurückliefert. Ich wüßte auf Anhieb gar nicht wie...

Das wäre absolut nicht Standardkonform. Genau deswegen hat VeriSign den Sitefinder wieder abschalten müssen.

Es geht definitiv nur mit einem Proxy, der einen speziellen Transparent-Modus hat (z.B: Squid oder Apache mit mod_proxy).

Zitat:
Original von S.K.
In der hier von Dir angedachten Konfiguration für einen transparenten Proxy käme dann noch hinzu, dass Jana die Datenpakete gar nicht auswerten würde! Wenn der Janaserver als (Standard-)Gateway eingetragen wäre und der Client nach einer DNS-Auflösung feststellt, dass er die Ziel-IP nicht direkt erreichen kann, sondern nur über ein Gateway, dann erzeugt er Datenpakete, die zwar die MAC-Adresse des Gateways als Ziel beinhalten - nicht jedoch auch dessen IP-Adresse. Als Ziel-IP steht weiterhin die des eigentlichen Ziels im Header. Der Janaproxy wertet aber nur Datenverkehr aus, dessen Ziel-IP seine eigene ist. Das gilt selbst dann, wenn der Proxy an die 0.0.0.0 gebunden ist (ich hab es getestet).

Ein Transparenter Proxy muß das HOST-Feld im HTTP-Header ebenfalls auswerten, nicht nur den GET-Befehl.

IMHO ist der einzige frei verfügbare Proxy der das kann Squid.
Eine Windows-Version von Sqid findest Du auf http://www.acmeconsulting.it/SquidNT/
mikew
Zitat:
Squid for NT4/2000/XP/2003 Documentation:
* Known Limitations:
[...]
** Transparent Proxy: missing Windows non commercial interception driver

Tja, selbst da könnte es mit dem transparenten Proxy unter Windows also problematisch werden.
dr.watson
Ich habe mich so sehr gefreut, daß es Squid überhaupt für Windows gibt, daß ich auf der Seite nicht bis ganz nach unten gescrollt habe. Aber das ist genau, was ich befürchtet habe. Unter Linux muß für einen transparenten Proxy ja auch eine spezielle Routing-Funktionalität in den Kernel einkompiliert werden, um die IP-Header proxygerecht zu manipulieren. Das hat Windows nicht on Board und von Drittanbietern scheint es keine Lösung unter GPL zu geben. In diesem Fall wird es wohl auch schwierig sein, das in Jana zu realisieren.
mikew
Immerhin hab ich wieder ein bisserl dazu gelernt, beim Bärenjagen. Freude


Aber die Antwort steht, wie ganz am Anfang angekündigt, am Ende des Threads:
Transparent geht es mit Jana nicht. Und selbst Squid hätte unter WIndows Schwierigkeiten damit...