ComputerBase Hauptmenü
Aktuelles

IP's der Clients über Proxyserver an Router durchsenden?

C

CreatorX

Lt. Junior Grade
Registriert
Mai 2011
Beiträge
271
Guten Tag, ich habe einen Proxserver mit Squid und würde gern wissen, ob es möglich Squid so zu konfigurieren, dass der Router (Fritzbox) trotzdem weiß von wem die Netzwerkanfragen kommen?
 
Für was brauchst du denn dann überhaupt einen Proxy?
 
MoraX schrieb:
Für was brauchst du denn dann überhaupt einen Proxy?
Zum Vergrößern anklicken....
Als Kindersicherung, um eine Liste von Webseiten zu sperren.

konkretor schrieb:
https://www.cyberciti.biz/faq/squid-proxy-is-not-hiding-client-ip-address/


http://www.squid-cache.org/Doc/config/forwarded_for/
Zum Vergrößern anklicken....
Danke, allerdings habe ich "forwarded_for" schon auf off, on, transparent und was es sonst noch so gibt probiert (und jedes mal den Server neu gestartet). Leider geht der Router immernoch nur von der IP des Proxyservers aus.
 
Wenn am Router die richtigen IPs ankommen, kann doch jeder den Proxy umgehen? Verstehe nicht ganz, was du vorhast.
 
Na er will wissen wer wann eine Anfrage an Seite X geschickt, simpel gesagt.
Schau dir mal Sophos UTM oder pfsense an, damit kannst du dann alles inkl. deine Kids per client auth. zu bestimmten Uhrzeit aussperren.
 
CreatorX schrieb:
Leider geht der Router immernoch nur von der IP des Proxyservers aus.
Zum Vergrößern anklicken....

Um den Proxy zwingend einzusetzen müsstest du doch alle andere IPs (außer die des Proxies) sperren. Ansonsten kann doch jeder am Proxy vorbeigehen.

-=Azrael=- schrieb:
Na er will wissen wer wann eine Anfrage an Seite X geschickt, simpel gesagt.
Zum Vergrößern anklicken....

Dieses Logging muss im Proxy gemacht werden.
 
Vielleicht muss ich das ganze näher ausführen. Auf dem Router kann man verschiedene Profile anlegen und diesen Profilen Computer zuweisen. Für die Kinderprofile kann ich da Sperrzeiten einstellen, so dass die Geräte die diesen Profilen zugewiesen sind, Nachts nicht mehr ins Internet können. So, war es bis jetzt, also der Proxy hat bisher keine Rolle gespielt. Allerdings wollte ich mir Filterlisten erstellen, um halt bestimmte Webseiten auszuschließen für die Kinder. Darum kam jetzt der Proxy ins Spiel. Ich habe den Proxyserver aufgesetzt und die betroffenen Geräte so eingestellt, dass HTTP-Anfrgagen über den Proxy geleitet werden. Nun ist es aber so, dass jetzt Nachts die Geräte trotzdem ins Internet können, weil der Router davon ausgeht, dass die Anfragen vom Proxyserver kommen.
 
Das funktioniert so nicht.
Squid kann zwar die original IP in den HTTP-Header(!) setzen, das juckt die Fritzbox aber nicht. Die schaut nur nach der MAC-Adresse/IP, nicht in den HTTP-Header.
 
MoraX schrieb:
Dieses Logging muss im Proxy gemacht werden.
Zum Vergrößern anklicken....
Das ist mir klar. Deswegen auch die Empfehlung sich sowas wie pf/opensense oder Sophos anzuschauen, da ist das mit ein "paar" klicks erledigt, zumindestens in der Sophos.
Damit kann er dann "man in the middle" spielen und wenn er will auch https filtern/aufbrechen.
 
  • Gefällt mir
Reaktionen: CreatorX
Das heißt ich muss mich entweder für die Profilfunktion der Fritzbox oder den Proxy entscheiden, gibt keine Möglichkeit beides zu nutzen? Wie siehts denn aus, man kann ja auch freie Proxyserver im Internet nehmen und diese dann nutzen. Gibt es ne kostenlose Möglichkeit selbst so einen Server ins Internet zu stellen und dann die jeweiligen Geräte erst den Router passieren und dann erst auf den Proxy zugreifen zu lassen?

-=Azrael=- schrieb:
Das ist mir klar. Deswegen auch die Empfehlung sich sowas wie pf/opensense oder Sophos anzuschauen, da ist das mit ein "paar" klicks erledigt, zumindestens in der Sophos.
Damit kann er dann "man in the middle" spielen und wenn er will auch https filtern/aufbrechen.
Zum Vergrößern anklicken....
Also ich habe mal nach Sophos gesucht. Das sind doch, soweit ich es verstanden habe Hardwarerouter... Also eigentlich woltte ich jetzt keine hunderte von Euros für eine Lösung ausgeben.
 
Du kannst Sophos entweder auf einem eigenen Rechner oder als VM betreiben. Letztendlich, ja es ist ein "Router" den du vor deine F!B schaltest. Die Sophos bietet dir aber mehr als ein Router, firewall/proxy/antivirus/client auth. uvm.. Die zeigt dir genau an wann wo welches Datenpaket hingeht welcher client wann wo wie auf welche Website zugegriffen hat usw..
Sophos UTM ist in der Home Version kostenlos und ist lediglich auf 50 interne IP Adresse beschränkt, einiges aus dem Profi Bereich kannst du auch nicht nutzen, du musst aber auch nicht mehre Standorte vernetzen/überwachen usw..
Ich hab seit Jahren F!B-> Sophos laufen. Bei meiner 50Mbit Leitung reicht ein Atom inkl. 2 NICs aus.
 
  • Gefällt mir
Reaktionen: CreatorX
Ich würde das komplett anders angehen und einen Pi Hole nutzen und damit dann auch gleich die Seiten sperren, statt das über einen Proxy zu machen.
Wenn dein Nachwuchs ne DNS Sperre umgehen kann dann kommt er auch um den Proxy drum rum.
 
  • Gefällt mir
Reaktionen: CreatorX und Raijin
Der Nachwuchs kann da gar nix umgehen, der weiß gerade mal, wie man den Browser öffnen kann um ins Internet zu kommen, das war es und wird wohl vorerst oder ewig so bleiben ^^
Pi Hole klingt aber nach einer guten Lösung. Ist also für solche Zwecke, wenn man nur Filterlisten benötigt statt nen vollwertigen Proxy besser geeignet? Ist PI Hole eine komplette Distro/Firewall/whatever oder läuft das unter raspbian so wie Squid? Ich Frage nur, weil ich wissen möchte ob ich dann den PI weiterhin noch als NAS verwenden kann oder nen eigenen dafür abstellen muss.
 
CreatorX schrieb:
Ist PI Hole eine komplette Distro/Firewall/whatever oder läuft das unter raspbian so wie Squid?
Zum Vergrößern anklicken....
Nein. Pi-hole ist ein DNS-Server, der zB Anfragen an ungewünschte Domains einfach "falsch" beantwortet. Anstatt dass bla.porno.irgendwas also mit der dazugehörigen öffentlichen IP aufgelöst wird, kommt zB 0.0.0.0 zurück und der Browser sagt "Geht nich, weil is nich". Der Admin kann in pi-hole beliebige Filterlisten einrichten, importieren, abonnieren. So kann man neben Werbebannern, etc auch andere unerwünschte Seiten blocken. Blocken ist aber zuviel gesagt, sie werden genau genommen ins Nichts umgeleitet.

Wenn das dann auch gleichzeitig als Werbeblocker für die anderen Geräte im Netzwerk dienen soll, kamnst du in der Fritzbox in den DHCP-Einstellungen als DNS die IP des Gerätes mit Pi-hole eingeben, in der Regel der namensgebende PI ;)
Soll ein Gerät nicht gefiltert werden, gibst du diesem einfach manuell die Fritzbox-IP als DNS.
 
  • Gefällt mir
Reaktionen: CreatorX
Danke soweit, ich werde mir beide Sachen mal genauer ansehen. Allerdings wird es bei Sophos schon schwer was die Hardware angeht. Auf einem RaspberryPI läuft es ja eben scheinbar nicht. Nen alten PC, der rund um die Uhr läuft, in die Wohnung stellen, ist bei mir auch keine echte Option im Moment und so ein Atom kostet auch 150€ und aufwärts. Von daher werd ich mich zunächst mal mit PI hole beschäftigen.

Aber, um nochmal auf mein ursprüngliches Vorhaben mit dem Proxyserver zurück zu kommen: Mir ist jetzt noch eine Idee gekommen. Ich habe hier noch eine zusätzliche ausrangierte Fritzbox rumliegen, die ansonsten aber einwandfrei funktioniert. Wäre da nicht folgender Aufbau möglich: Ich verbinde von nun an die Geräte, die die Kinder benutzen mit dem alten Router, der sich dann um die Geschichte mit den Profilen und den Zeitsperren kümmert. Web-Zugriffe besagter Geräte schickt er dann zum Proxyserver der das Ganze dann wiederum an den eigentlichen Router, der für den Internetzugang zuständig ist, weiterleitet. Wäre das möglich? Wie man von einer Fritzbox zur anderen weiterleitet weiß ich, aber kann man ihr sagen dass die Daten erst über den Proxy geschickt werden sollen wenn auf den Clients selbst keine Proxyeinstellungen gesetzt wurden oder ist das nicht möglich?
 
Die Fritzbox ist als WAN Gateway gedacht. Du kannst dort keinen Umweg über einen Proxy definieren.
Die einzige Option wie das evtl. mach wäre: Die FB geht per Kabel direkt an den Proxy und vom Proxy über eine zweite LAN Vebindung an den eigentlichen Router.

Das hätte aber auch zur Folge dass die "gefiterten Geräte" in ein eigenes Subnetz müssen.
 
  • Gefällt mir
Reaktionen: CreatorX
Das heißt der Proxy würde 2 Netzwerkkarten benötigen? Sieht schlecht aus wenn es sich beim Proxy um einen RaspbarryPi handelt ^^ Oder ginge es wenn der Eingang über WLan und der Ausgang über Ethernet erfolgt?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

U
Skript für automatische Konfiguration (Proxyserver) per Batch Datei mit einem Klick An-/Ausschalten
Antworten
3
Aufrufe
21.248
Uli82
U
Sniffer87
Dell X51 V über Wlan-Proxyserver ins I-Net
Antworten
0
Aufrufe
1.013
Sniffer87
Sniffer87
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz