Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jimm 10. 02. 2015, 22:30:38
-
Ahoj, potřeboval bych poradit, začínám tušit že to asi nepůjde, což mě dost mrzí.
Na půdě mám Zyxel, přes který jde veškerý provoz do internetu. V baráku v jedné místnosti je server, který je za Zyxelem z historických důvodů normálně za NATem. Na domácím serveru jede squid, ale tím pádem to není jako transparentní proxy. Napadlo mě, že bych veškerý provoz co přijde z LAN do Zyxelu na 80 prostě přesměroval na domácí server na odpovídající port, čímž bych vytvořil vlastně něco jako transparentní proxy, ale teď se mi nedaří ten Zyxel donutit, aby tohle prováděl. Ví někdo případně jak na to? Moc díky. :)
-
Jedná se konkrétně o Zywall 5.
-
Máte nějaký dobrý důvod, proč chcete proxy server měnit na transparentní? Transparentní proxy server je MITM útok na komunikaci, nebude vám např. fungovat s HTTPS a případně mohou vzniknout další problémy z toho, že prohlížeč komunikuje s něčím jiným, než předpokládá.
-
Zyxel 5 neznam, ale zatim jsem v zadnem domacim routeru takovou vec nevidel. Asi byste musel mit nejake WRT nebo neco. Mozna tak, kdyby se vam podarilo zalogovat pres ssh, jestli umi a nekam tam vnuti skript, ktery nastavi iptables. vsem co to udela po resetu?
Ale mohl byste na to jit o lesa. Na Zyxelu vypnou DHCP server, nakonfigurovat DHCP server na tom vasem stroji tak, aby sam sebe klientum daval jako gateway. Pak si vytvorite virtualni rozhrani a mezi fyzickym rozhranim a tim virtualnim si nastavite routing podle vaseho vkusu a take presmerovani provozu na port 80 pres ten Squid. Nejak takto: http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .Nekde jsem videl podobnou vec s Raspberry Pi, ale emuzu to najit.
Zda se, ze existuji dalsi podvody, ktere by sly pouzit a upravit. Mrknete na: http://raspberrypi.stackexchange.com/questions/7223/using-the-raspberry-pi-as-a-router http://www.instructables.com/id/Raspberry-Pi-Firewall-and-Intrusion-Detection-Syst/?ALLSTEPS (venujte pozornost # Do not send ICMP redirects (really important for our single NIC gateway) http://networkfilter.blogspot.be/2012/08/building-your-piwall-gateway-firewall.html . A zejmena http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .
Data vam ale budou behat po kabelu tam a zpatky, takze jestli mate treba stary 10Mbit NIC a husty provoz, tak by to mohlo vadit.
-
@Filip Jirsák: Smankote, snad rikal, ze to chce na port 80, tak jakepak HTTPS?
-
FJ: ne, na portu 80 se nejedná o https ;D
Jarda: Pravda, to je ten čestvý pohled který mi chybí, dhcp mám stejně z domácího serveru, takže změnit GW na tento server bude asi to nejmenší... Ještě to promyslím a pokud nenarazím na žádný logický zádrhel kde by mi to rozhodilo něco jiného, udělám to tak. Díky! Taková blbost, ale jak na to čučím v téhle síti už tak dlouho, ani mě nenapadlo že by to mohlo být jinak. :D
Zyxel 5 neznam, ale zatim jsem v zadnem domacim routeru takovou vec nevidel. Asi byste musel mit nejake WRT nebo neco. Mozna tak, kdyby se vam podarilo zalogovat pres ssh, jestli umi a nekam tam vnuti skript, ktery nastavi iptables. vsem co to udela po resetu?
Ale mohl byste na to jit o lesa. Na Zyxelu vypnou DHCP server, nakonfigurovat DHCP server na tom vasem stroji tak, aby sam sebe klientum daval jako gateway. Pak si vytvorite virtualni rozhrani a mezi fyzickym rozhranim a tim virtualnim si nastavite routing podle vaseho vkusu a take presmerovani provozu na port 80 pres ten Squid. Nejak takto: http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .Nekde jsem videl podobnou vec s Raspberry Pi, ale emuzu to najit.
Zda se, ze existuji dalsi podvody, ktere by sly pouzit a upravit. Mrknete na: http://raspberrypi.stackexchange.com/questions/7223/using-the-raspberry-pi-as-a-router http://www.instructables.com/id/Raspberry-Pi-Firewall-and-Intrusion-Detection-Syst/?ALLSTEPS (venujte pozornost # Do not send ICMP redirects (really important for our single NIC gateway) http://networkfilter.blogspot.be/2012/08/building-your-piwall-gateway-firewall.html . A zejmena http://blog.andrisetiawan.com/2007/12/05/transparent-proxy-server-with-one-nic/ .
Data vam ale budou behat po kabelu tam a zpatky, takze jestli mate treba stary 10Mbit NIC a husty provoz, tak by to mohlo vadit.
-
FJ: ne, na portu 80 se nejedná o https ;D
Aha, takže vám nejde o webový proxy server, vy prostě jenom chcete transparentní proxy server na portu 80, protože proto. Tak s tím vám bohužel neporadím.
Pro vaši informaci, pokud se používá proxy server pro port 80, zpravidla to bývá webový proxy server. A na webu se používají protokoly HTTP a HTTPS, takže většina správců, kteří řeší webový proxy server, řeší oba dva protokoly.
-
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
-
Nejde to udělat destination natem nebo mangleováním? To asi ten Zywall neumí, co?
-
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
Přesně na to jsem se ptal, a dozvěděl jsem se, že tomu vůbec nerozumím… Jinak v prohlížečích se to nemusí explicitně nastavovat, všechny rozumné prohlížeče (a další aplikace) podporují autokonfiguraci přes WPAD (http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol).
-
Zkus zyxel prepnout do modu "bridge", jestli to teda pujde.
-
Tak jestli to má stejný vnitřní firmware jako Zywall USG 20 potom to lze nastavit v -> Configuration -> routing -> (záložka) Policy route. A tam lze definovat jaký port, kam má jít a pro jaké adresy...
Pánové, třeba se jen učí vykrádat kam chodí lidi na internet, tak ho hned nekamenujte, jinak v tom taky nevidím moc velký smysl. ;-)
-
No jasně, to je perfektní řešení, dokonce to přiděluji přes DHCP. A každý nový telefon, například na Androidu? Mám v síti minimálně 25 zařízení, což je dnes u geeků asi běžné a vy mi tedy radíte, abych to nastavoval ručně? :) :D
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
-
Je to kvůli tisíci a jedné věci, například efektivní shaping. Kde jedu přes proxy, se svou ubohoučkou linkou vycházím v pohodě, pokud jedu přímo (i přes shaping nastavený na routeru) mi jedno zařízení vyžere celý bandwich.
Tak jestli to má stejný vnitřní firmware jako Zywall USG 20 potom to lze nastavit v -> Configuration -> routing -> (záložka) Policy route. A tam lze definovat jaký port, kam má jít a pro jaké adresy...
Pánové, třeba se jen učí vykrádat kam chodí lidi na internet, tak ho hned nekamenujte, jinak v tom taky nevidím moc velký smysl. ;-)
-
Například Firefox který automaticky nastavím na přístup přes proxy je předtím třeba nastavit, aby použil automatickou konfiguraci proxy. Pokud už ho budu nastavovat, mohl bych rovnou nastavit proxy, nemyslíte? Takže automatika jako prase. ::)
Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...
Přesně na to jsem se ptal, a dozvěděl jsem se, že tomu vůbec nerozumím… Jinak v prohlížečích se to nemusí explicitně nastavovat, všechny rozumné prohlížeče (a další aplikace) podporují autokonfiguraci přes WPAD (http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol).
-
Například Firefox který automaticky nastavím na přístup přes proxy je předtím třeba nastavit, aby použil automatickou konfiguraci proxy. Pokud už ho budu nastavovat, mohl bych rovnou nastavit proxy, nemyslíte? Takže automatika jako prase. ::)
Proč by bylo potřeba to nastavovat? Použití konfigurace ze systému vám nestačí? A pokud chcete Firefox instalovat na větším množství počítačů, můžete si výchozí volbu při vytvoření nového profilu nastavit v instalačním balíku.
Ale když si chcete život komplikovat transparentním proxy serverem, který vám bude fungovat jenom pro protokol HTTP na portu 80, je to vaše volba. Můžete pomalu začít přemýšlet, co budete dělat s protokolem HTTP/2.0, kde bude podpora šifrování povinná.
-
Proboha pane Jirsáku, vy jste na mě opravdu moc, nechte mě prosím být. Já psal že je to doma, tak budu asi příchozí návštěvě která si přinese nb s neznámým systémem dávat nějaký instalační balíček FF, ne? :o Na to ostatní od vás už nemám sílu reagovat vůbec.
Například Firefox který automaticky nastavím na přístup přes proxy je předtím třeba nastavit, aby použil automatickou konfiguraci proxy. Pokud už ho budu nastavovat, mohl bych rovnou nastavit proxy, nemyslíte? Takže automatika jako prase. ::)
můžete si výchozí volbu při vytvoření nového profilu nastavit v instalačním balíku.
-
Nechce vam zle, dnes pomaly kazda druha slusna stranka presmerovava traffic na https, do sluzieb ako gmail alebo Facebook za uz cez http neprihlasite. Takze tolko k tomu transparentnemu proxy, nielenze vam nebude fungovat internet banking, ale pomaly polovica internetu.
-
Já psal že je to doma, tak budu asi příchozí návštěvě která si přinese nb s neznámým systémem dávat nějaký instalační balíček FF, ne?
Víte, když nenapíšete skoro nic o vašem problému, nezbývá těm, co jsou ochotni pomoci, než se dohadovat, a pro různé možné varianty navrhovat různá řešení. Z toho, že jste napsal, že je to doma, a že je tam 25 zařízení, se opravdu nedá uhodnout, jestli jsou to notebooky návštěv, nebo jestli tam máte hodně desktopů. Navíc když neustále vymýšlíte, jak by se to celé dalo co nejvíc zkomplikovat, vnucování vlastního instalačního balíčku prohlížeče návštěvám by byla docela pěkná komplikace, nemyslíte?
Ono totiž pro domácí připojení, s routerem, který nic neumí, a pro návštěvy s notebooky, má váš problém jediné rozumné řešení: vykašlete se na nějaké proxy servery a buďte rád, že vám to funguje.
-
Uznávám že ten router nebyla ideální koupě, ačkoli umí ssh a nakonec jsem ho donutil k lecčemus, přecijen zde na Rootu má polovina přispěvovatelů router horší... Vážený pane Jirsáku, pokud napíši že se jedná o domov, ostatním není třeba specifikovat, že občas přijde návštěva, to máte problém pochopit právě jen vy... S ostatními se zde celkem dalo mluvit a to vlákno nebyl takový hnůj, ale vy jste prostě perla rootu. Je pro vás problém přijmout vstupní argumenty jaké dostanete a na základě nich vyhodnotit výstup, aniž byste vyhodnocoval NEPOŽADOVANÉ informace a neradil věci nesouvisející s dotazem, jako je stěhování, koupě jiných bot a podobně? Někdy chce někdo kdo položí dotaz poradit s tím na co se ptá, ač se vám to může zdát divné...
-
Je pro vás problém přijmout vstupní argumenty jaké dostanete a na základě nich vyhodnotit výstup
Přesně to jsem udělal a poradil jsem vám v komentáři číslo 2. Protože jsem si ale nebyl jist, zda opravdu nějaký důvod pro zprovoznění transparentního proxy nemáte, raději jsem se zeptal. A po upřesnění z vaší strany jsem odpověděl podle mne nejlepší možné řešení v komentáři č. 18.
Mimochodem, na váš původní dotaz vám přímo neodpověděl nikdo, akorát v komentáři č. 3 je názor, že to váš router asi umět nebude. Takže s tím, že vás zajímají pouze odpovědi přesně na váš dotaz, byste měl být trochu opatrnější. Taky byste asi neměl děkovat za to, že vám někdo odpověděl na něco jiného, než na co jste se ptal.
Díky! Taková blbost, ale jak na to čučím v téhle síti už tak dlouho, ani mě nenapadlo že by to mohlo být jinak. :D
-
Já se ptal na to, jestli někdo ví jak nastavit můj router, aby dělal co jsem chtěl. Někdo na to odpověděl že to můj router asi umět nebude, což je pokud pomineme že se na ASI stavět moc nedá přesně ta odpověď, o kterou šlo. :) Potom se tady už jen tak tlachalo a například jarda změnou gateway mi poradil slušně a k věci, protože mě to prostě hloupě nenapadlo. Konfigurace instalačních balíků je těžce mimo mísu, pokud se bavíme o domácnosti... Já bych byl pro, pokud by byl zbytek světa rozumný a všichni měli Linux včetně telefonů, tak to ale bohužel není.
-
Já jsem vám také neradil konfiguraci instalačních balíčků, ale abyste zvážil, zda opravdu proxy server nutně potřebujete, a pokud ano, abyste použil netransparentní režim. Přičemž to byly také rady slušné a k věci. Neslušný jsem začal být až po té, co jste se projevil, že netušíte, že web proxy server obvykle obsluhuje protokoly HTTP i HTTPS, ale oč méně znalostí máte, o to arogantněji jste to musel napsat. Instalační balíky byla jen poznámka na okraj, abych se vzápětí nedočkal odpovědi, že přece nebudete ručně konfigurovat Firefox na 25 počítačích. Pokud totiž jde o jeden prohlížeč návštěvy, je skutečně daleko nejjednodušší nastavit tam automaticky konfiguraci, protože si za prvé nemusíte pamatovat konfigurační údaje, a za druhé mu ta konfigurace bude fungovat všude, kde proxy server buď není a nebo je zprovozněná automatická konfigurace.
Konfigurace instalačních balíků je těžce mimo mísu, pokud se bavíme o domácnosti...
Pokud se bavíme o domácnosti, je to úplně stejně těžce mimo mísu, jako transparentní HTTP proxy server. Pokud vy si vymýšlíte takovéhle šílenosti, nedivte se, že i navržená řešení budou stejně šílená.
-
Já samozřejmě vím co obsluhuje proxy, ale již v prvním postu jsem uváděl nezabezpečenou komunikaci na portu 80, přesně z důvodů jaké se zde objevovaly dále. Po prvním postu kde bylo uvedeno přesměrování portu 80 na squid, jsi hned vymýšlel https, na což upozorňoval i JardaP, vy vole..... Pokud někdo mluví o portu 80 a ty o https, okamžitě ses vyřadil ze hry. Hotovo.
Neslušný jsem začal být až po té, co jste se projevil, že netušíte, že web proxy server obvykle obsluhuje protokoly HTTP i HTTPS, ale oč méně znalostí máte, o to arogantněji jste to musel napsat.
Pokud se bavíme o domácnosti, je to úplně stejně těžce mimo mísu, jako transparentní HTTP proxy server. Pokud vy si vymýšlíte takovéhle šílenosti, nedivte se, že i navržená řešení budou stejně šílená.
-
Já samozřejmě vím co obsluhuje proxy, ale již v prvním postu jsem uváděl nezabezpečenou komunikaci na portu 80, přesně z důvodů jaké se zde objevovaly dále. Po prvním postu kde bylo uvedeno přesměrování portu 80 na squid, jsi hned vymýšlel https, na což upozorňoval i JardaP, vy vole..... Pokud někdo mluví o portu 80 a ty o https, okamžitě ses vyřadil ze hry. Hotovo.
Nemůžu si pomoci, ale vždycky mne pobaví, když si někdo tak jako vy zakládá na svých neznalostech. Přitom už jsem vám to vysvětloval. No nic, už dávno je jasné, že ten proxy server k ničemu nepotřebujete, že si jenom chcete hrát, tak si klidně hrajte. Pozitiva ani negativa toho proxy serveru návštěvy nepoznají, protože jsou to příliš malé rozdíly. A vás důsledky nezajímají a budete spokojen, když si pohrajete.
Ono je už od vašeho druhého komentáře dost pravděpodobné, že vy žádné rady nepotřebujete, ale přeci jen by to tu mohl později číst také někdo jiný, kdo by ten proxy server myslel třeba vážně.
-
No nic, už dávno je jasné, že ten proxy server k ničemu nepotřebujete, že si jenom chcete hrát, tak si klidně hrajte.
Idealni cesta, jak se neco naucit. Ostatne jiz Komensky to tak videl, tak se nerozciluj.
-
Jenom na okraj: v dnešní době mají proxy servery daleko menší význam, než tomu bývalo v době modemových linek... Proxy může paradoxně nemalý množství věci zpomalovat a na věci, na který by se nejvíc hodil (např. updaty OS) stejně dost často nefunguje (distribuce přes https nebo nějakou CDN, kde se adresa neustále mění, takže se stejný balík stejně stáhne víckrát).
Takže v tomhle má Filip asi pravdu, že nejspíš řešíš problém, který nemáš...
-
No nic, už dávno je jasné, že ten proxy server k ničemu nepotřebujete, že si jenom chcete hrát, tak si klidně hrajte.
Idealni cesta, jak se neco naucit.
To bezpochyby. Jenže i při té hře je dobré vnímat rady zkušenějších. Protože některé věci budete hrou zjišťovat velmi dlouho, případně je správně nezjistíte nikdy. Navíc při hře jsou trochu jiná kritéria na to, co dává jaký smysl. Takže sice nedává žádný smysl v domácí síti mít transparentní HTTP proxy nebo řešit konfiguraci instalačního balíčku Firefoxu, při hře to dává smysl obojí. A zatímco význam znalosti transparentního HTTP proxy serveru postupně klesá (mají čím dál menší účinnost při šetření přenosového pásma, takže postupně může převažovat jejich režie, tedy zpomalování provozu a generování dalšího provozu), navíc šifrovanou HTTP/2.0 komunikaci ten transparentní proxy server prostě zruší (takže po pár stížnostech bude muset provozovat zrušit tu proxy), automatickou konfiguraci Firefoxu při instalaci využije nejeden správce sítě.