Frage zum neuen Proxy Dienst der DSM 5.1

catweazle71 · 12. Sep 2014

Hi zusammen,

mit dem DSM 5.1 wird nun auf der DS auch ein Proxy Dienst implementiert, den man nutzen kann.

Dazu habe ich mal eine grundsätzliche Frage.

Vorher ein bißchen Hintergrund zu meinem Netzwerk:
- Internetanbindung erfolgt über ein Kabelmodem/-Router (Fritz!Cable) von Unitymedia.
- Die Fritz ist außerdem zur Zeit DHCP Server und Standardgateway.
- Im Netz befinden sich Windowsclients, Tablets, Smartphone, Multimediageräte (TV, Sat-Receiver, Logitech-Squeezebox), natürlich die DS und ein Switch, über den die Netzdosen in den Räumen angebunden sind.
- Der neue Proxy auf der DS soll als reiner HTTP(S) Proxy fungieren

In der Konstellation würde ich gerne alle HTTP(S) Verbindungen zwingend über den Proxy leiten. Alle anderen Verbindungen können direkt ins Internet (z.b. Sat-Receiver zieht sich ein Update oder so).

Grund ist, dass ich mindestens bei den Windows-Clients mehr Kontrolle beim Surfen haben möchte. Ich möchte aber nicht an jedem Client manuell Einstellungen vornehmen müssen (Einrichten Proxy im Browser oder so). Die könnte sowieso jeder User wieder ändern.

Wie schaffe ich es also rein prinzipiell, dass alle HTTP(S) Verbindungen immer über den Proxy laufen, ohne manuelle Einstellungen an den Clients vornehmen zu müssen?

Viele Grüße,
Dirk

Anzeige · 12. Sep 2014

Hallo catweazle71,

Bücher und Hardware zum Thema gibt es bei Amazon: Frage zum neuen Proxy Dienst der DSM 5.1

catweazle71 · 18. Sep 2014

Hi nochmal,

hat denn keiner eine Idee????

Oder ist meine Frage zu blöd?

Grüße

joku · 18. Sep 2014

catweazle71 schrieb:
Wie schaffe ich es also rein prinzipiell, dass alle HTTP(S) Verbindungen immer über den Proxy laufen, ohne manuelle Einstellungen an den Clients vornehmen zu müssen?

Hallo, wie soll der Client wissen was er soll, ohne es ihm zu sagen. Gruß Jo

Ap0phis · 18. Sep 2014

Einfach den direkten Internet-Zugang aller gewünschten Clients in der Fritz!Box sperren.
Dann können die User ändern was sie wollen. Der Internetzugang geht halt nur über den nicht gesperrten Proxy.

Habe ich zwar noch nicht ausprobiert, müsste aber so gehen.

jahlives · 18. Sep 2014

joku schrieb:
Hallo, wie soll der Client wissen was er soll, ohne es ihm zu sagen. Gruß Jo

indem man dem Gateway sagt: leite alle HTTPS Requests der Clients an den Proxy --> transparenter Proxy

Allerdings ist bei HTTPS ja bereits alles verschlüsselt also wird der Proxy Inhalte der Pakete z.B. den gewünschten HTTP-Host nicht ermitteln können

catweazle71 · 19. Sep 2014

Das Gateway ist ja die Fritzbox. Wie kann ich denn an einer Fritz einstellen, dass http(s) über den Proxy laufen soll???

Wie wäre es alternativ, wenn man über DHCP ein anderes Default Gateway verteilt, z.b. direkt die DS mit dem Proxy?

Frogman · 19. Sep 2014

catweazle71 schrieb:
Das Gateway ist ja die Fritzbox. Wie kann ich denn an einer Fritz einstellen, dass http(s) über den Proxy laufen soll???

Indem man den entsprechenden Port auf den Proxy-Port schickt?

jahlives · 20. Sep 2014

catweazle71 schrieb:
Das Gateway ist ja die Fritzbox. Wie kann ich denn an einer Fritz einstellen, dass http(s) über den Proxy laufen soll???

Wie wäre es alternativ, wenn man über DHCP ein anderes Default Gateway verteilt, z.b. direkt die DS mit dem Proxy?

wie es bei einer Fritzbox geht weiss ich leider mangels FB nicht, aber ganz prinzipiell ist das eine Portweiterleitung und damit Aufgabe des NAT z.B. hier mit iptables (bei allen Linux mit dabei). Sagen wir deine DS hat die IP 192.168.0.10 und der Proxy lauscht auf Port 3128. Der Gateway ist die 192.168.0.1 und du willst HTTPS (Port TCP 443) auf den Proxy leiten. Dein LAN Interface am GW ist eth1

Code:

iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 443 ! -s 192.168.0.10 -j DNAT --to 192.168.0.10:3128
iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 3128 -j SNAT --to 192.168.0.1

so würde der GW alle Pakete auf Port 443 welche nicht vom Proxy selber sind auf den Proxy weiterleiten (erste Regel) und bei diesen weitergeleiteten Paketen die Source Adresse ersetzen, damit der Proxy die Antworten via dem GW an den Client zurücksendet (zweite Regel)

Deine "Alternative" wäre eine ziemlich schlechte Idee, weil du dann für jeden Dienst den deine Clients im Netz erreichen wollen, einen Proxy laufen haben müsstest. Der HTTP(S) Proxy kann kaum IMAP oder POP3 sprechen. Zudem könntest du so nicht verhindern dass der Client seine Pakete trotzdem direkt an den GW sendet und damit den Proxy umgeht.
Wie oben bereits gesagt ist ein HTTPS Proxy recht schwierig, denn der Proxy kann nicht in die Pakete hineinsehen