Hallo,
leider wurde nun der kleinen Niederlassung Deutschland von der großen Mutter ein neues FW System vorgesetzt ... <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Die Implementierung sieht wie folgt aus (auch wenn es meines Erachtens nach Schwachsinnig ist!!):
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
----------
LAN ---- | Proxy |
| |-----------
| |
| ------------ ----------
- | Firewall | -- | Router | -- Internet
------------ ----------
| |
| | --------------
| |- | FTP Server |
| --------------
|
| -------------
|- | Viruswall |
-------------
</font><hr></pre></blockquote>
Wobei folgende Grunddaten gelten:
LAN = 10.104.10.0/24
Proxy = 10.104.10.210/24 (Ja, der soll nur eine NIC haben ....)
Firewall = 10.104.10.249/24 (5 NICs: LAN / cross-over zu Proxy / cross-over zu Viruswall / cross-over zu FTP / Router)
Viruswall = 10.104.254.2/24 (DMZ1; MS Proxy 2)
FTP Server = 10.104.253.2/24 (DMZ2; SuSE Linux 7.3)
Die Clients haben als Proxyserver den Proxy angegeben (10.104.10.210).
Der Proxy hat bis heute morgen als "normaler" Proxyserver (Squid 2.3) gewirkt, eth0 war ans LAN angeschlossen, eth1 zum Router.
Nun muß der Proxy aber den Umweg über den MS Proxy gehen .... und das will nicht so ganz funzen.
Habe auf dem Proxy die FW als Gateway angegeben.
IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Wie muß der Proxyserver konfiguriert werden, damit Squid DNS Anfragen an einen anderen Proxy weiterleitet?
Die Angabe: "peer_cache viruswall parent 8080 7 proxy-only" (viruswall kann aufgelöst werden) scheint das Problem nicht zu lösen.
Danke & Gruß
(Bitte keine Kommentare zu dem schwachsinningen Aufbau .... habe schon bald ein Magengeschwür ...)
Wie muß das routing aussehen?
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Wie muß das routing aussehen?
Last edited by Stormbringer on 19. Mar 2002 18:48, edited 1 time in total.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: Wie muß das routing aussehen?
Hi Stormbringer
<pre>
peer_cache viruswall parent 8080 7 proxy-only
^
</pre>
Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).
Zudem darf auf deiner Viruswall kein Programm installiert sein, dass UDP-Anfragen verwirft (zumindest dürfewn die Anfragen von Squid nicht verworfen werden).
Du kannst auch versuchen, ob du statt des namens viruswall nicht lieber die IP-Adresse verwendest (wobei du ja die NAmensauflösung bereits als Fehlerquelle ausgeschlossen hast).
>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.
Je länger ich über euer Konzept nachdenke, desto mehr Probleme habe ich es zu verstehen.
Ich habe noch eine Frage zu eurem FW aufbau:
Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?
Kannst du evtl. auch mal die Fehlermeldungen posten, die zurück an den Browser geliefert werden und auch die Fehler, die in die log Datei geschrieben werden.
PS: läuft dein Script jetzt?
PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).
Allerdings habe ich in den RFC´s keinen Hinweis gefunden, dass man die Netzadresse nicht als Hostadresse verwenden darf. Falls du zufällig mal über sowas stolperst: Mein Dank wäre dir gewiss <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gruß
<pre>
peer_cache viruswall parent 8080 7 proxy-only
^
</pre>
Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).
Zudem darf auf deiner Viruswall kein Programm installiert sein, dass UDP-Anfragen verwirft (zumindest dürfewn die Anfragen von Squid nicht verworfen werden).
Du kannst auch versuchen, ob du statt des namens viruswall nicht lieber die IP-Adresse verwendest (wobei du ja die NAmensauflösung bereits als Fehlerquelle ausgeschlossen hast).
>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.
Je länger ich über euer Konzept nachdenke, desto mehr Probleme habe ich es zu verstehen.
Ich habe noch eine Frage zu eurem FW aufbau:
Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?
Kannst du evtl. auch mal die Fehlermeldungen posten, die zurück an den Browser geliefert werden und auch die Fehler, die in die log Datei geschrieben werden.
PS: läuft dein Script jetzt?
PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).
Allerdings habe ich in den RFC´s keinen Hinweis gefunden, dass man die Netzadresse nicht als Hostadresse verwenden darf. Falls du zufällig mal über sowas stolperst: Mein Dank wäre dir gewiss <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gruß
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: Wie muß das routing aussehen?
<blockquote><hr>
Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?
<hr></blockquote>
Mein Fehler ... ist selbstredend ein normales Kabel ....
<blockquote><hr>
>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.
<hr></blockquote>
Auf der FW (läuft im Stealth Mode) ist die Viruswall als GW eingetragen, und dort schlußendlich der Router zum Internet.
<blockquote><hr>
Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).
<hr></blockquote>
Das kann durchaus sein .... habe ich zumindest nicht kontrolliert.
<blockquote><hr>
PS: läuft dein Script jetzt?
<hr></blockquote>
Nein - da aber zwischenzeitlich auch eine neue HylaFAX Version erschienen ist, welche nicht abwärtskompatibel zu VErsion 4.1 ist, werde ich es mit einer kompletten Neuinstallation der neuen Version probieren. (SuSE wird diese wohl erst in 8.1 oder 8.2 integrieren .. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
<blockquote><hr>
PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).
<hr></blockquote>
Also, ich werde nun bestimmt nicht die einzelnen Dokus von Intel, 3COM, Cisco, u. a. durchforsten (<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">), es aber im Hinterkopf behalten.
Das mit den Verständnisproblemen kann ich nur unterstreichen ..... doppelt unterstreichen. Ist auch mit ein Grund, warum ich heute abend eigentlich nur einige Bewerbungsanschreiben formuliert habe ... wer weis schon, wo dies noch enden wird.
Gruß
Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?
<hr></blockquote>
Mein Fehler ... ist selbstredend ein normales Kabel ....
<blockquote><hr>
>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.
<hr></blockquote>
Auf der FW (läuft im Stealth Mode) ist die Viruswall als GW eingetragen, und dort schlußendlich der Router zum Internet.
<blockquote><hr>
Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).
<hr></blockquote>
Das kann durchaus sein .... habe ich zumindest nicht kontrolliert.
<blockquote><hr>
PS: läuft dein Script jetzt?
<hr></blockquote>
Nein - da aber zwischenzeitlich auch eine neue HylaFAX Version erschienen ist, welche nicht abwärtskompatibel zu VErsion 4.1 ist, werde ich es mit einer kompletten Neuinstallation der neuen Version probieren. (SuSE wird diese wohl erst in 8.1 oder 8.2 integrieren .. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
<blockquote><hr>
PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).
<hr></blockquote>
Also, ich werde nun bestimmt nicht die einzelnen Dokus von Intel, 3COM, Cisco, u. a. durchforsten (<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">), es aber im Hinterkopf behalten.
Das mit den Verständnisproblemen kann ich nur unterstreichen ..... doppelt unterstreichen. Ist auch mit ein Grund, warum ich heute abend eigentlich nur einige Bewerbungsanschreiben formuliert habe ... wer weis schon, wo dies noch enden wird.
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: Wie muß das routing aussehen?
<blockquote><hr>Auf der FW (läuft im Stealth Mode) ist die Viruswall als GW eingetragen, und dort schlußendlich der Router zum Internet.<hr></blockquote>
Worauf ich aber hinaus wollte, war der ping vom proxy (squid) ins Internet. Das sollte IMHO nicht erlaubt sein. Der squid soll und muss auf jeden Fall über den MS-Proxy. Eine andere route ins Internet sollte es für den squid nicht geben. Aus diesem Grund kann und darf squid auch keine namensauflösung vornehmen.
Worauf ich aber hinaus wollte, war der ping vom proxy (squid) ins Internet. Das sollte IMHO nicht erlaubt sein. Der squid soll und muss auf jeden Fall über den MS-Proxy. Eine andere route ins Internet sollte es für den squid nicht geben. Aus diesem Grund kann und darf squid auch keine namensauflösung vornehmen.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: Wie muß das routing aussehen?
Das haben die Fachleute heute auch nach einigen Stunden des telefonierens etwas anders gelöst - der Squid Proxy ist abgeschaltet worden, da sie es nicht hinbekommen haben ... <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Anstelle von 2 Linux Systemen laufen jetzt nun 4 W2K Systeme, mit denen sie wohl eher klarkommen - naja, habe auch ssofort die Zuständigkeiten gereglt, die Systeme befinden sich nun ein einem abgeschlossenen 19" Schrank, und der Schlüssel ging mit ihnen.
Gruß
Anstelle von 2 Linux Systemen laufen jetzt nun 4 W2K Systeme, mit denen sie wohl eher klarkommen - naja, habe auch ssofort die Zuständigkeiten gereglt, die Systeme befinden sich nun ein einem abgeschlossenen 19" Schrank, und der Schlüssel ging mit ihnen.
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)