wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

Message
Author
cc
Posts: 191
Joined: 18. Apr 2003 18:04

wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#1 Post by cc »

wie kann ich gewisse webseits aus dem squid proxy
ausschliessen ?
benutze squid Version 2.4.STABLE7 auf dem SuSE8.1

das problem ist, dass gewisse webseiten
funktionieren NICHT via proxy.
ich weiss, ich kann es auch beim browser
ausschliessen, aber bei den 400 USER
ist es eine menge arbeit.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#2 Post by max »

keine ahnung ob das geht, stelle mir das aber nicht einfach vor, da zu diesen Zeitpunkt der Proxy schon die Anfrage hat.

Welche Seiten gehen denn nicht?
Mir ist noch keine Seite aufgefallen die hinter einen Proxy nicht funktioniert, ausser jemand schließt bewußt Proxy-Surfer aus. (selbst die habe ich noch nicht gefunden)

Ist der Proxy transparent?
gruss Max

cc

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#3 Post by cc »

also es ist kein transparennter proxy.

die webseiten, die nicht gehen sind spezielle buchhalterische applicatinen,
die nur via browser, login usw. via vpn tunnel OHNE PROXY funktionieren.
auch wenn ich dir die adressen mitteilen, würde kannst sie OHNE VPN nicht erreichen.
wenn ich beim browser direkt vom proxy ausschliesse, dann geht.

es muss doch eine lösung geben, diese seiten beim proxy selber auszuschliessen.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#4 Post by max »

keine Ahnung wie. Was sagt denn <a href="http://www.squid-cache.org" target="_blank"><!--autohttp-->http://www.squid-cache.org</a><!--autohttp--> dazu?


Wäre der Proxy transparent, könntest du einfach den Traffic zu $ZIELIP $ZIELPORT am Squid vorbeilenken.

Andersrum wird es nicht ohne transparenten Proxy funktionieren.
(Einmal müssen die Header umgeschrieben werden, frage mich aber nicht um genaueres)

Aber....
ich vermute trotzdem noch das das Problem woanders liegt.
Ich vermute vor dem VPN liegt ne Firewall. Die wird dir vermutlich etwas wegschnappen.
Denk dran das du eine andere IP hast wenn du durch den Proxy surfst, als wenn du an ihm vorbeikommst.


(Was ist das denn für ein Proxy? Bei uns transparenter Proxy, keine Chance ohne zu surfen; selbst ftp geht nicht ohne
Und das ist auch gut so!)

BTW unsere VPN-Bridge frißt auch ein paar Ports/IPs
Gruss Max

cc
Posts: 191
Joined: 18. Apr 2003 18:04

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#5 Post by cc »

es ist squid Version 2.4.STABLE7, wie ich schon geschrieben habe

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#6 Post by max »

was hast _DU_ nicht verstanden?
Was ein transparenter Proxy ist?
Du weißt das Squid als trans. P. laufen kann?
Das dies nur aussagt das der HTTP-Traffic am Gateway/Router/Firewall rausfiltert und durch einen Proxy geleitet wird?

Zumindestens solltest du wenigstens wissen wovon ich hier rede, als Admin über 400 Clients....

Gruss Max
Nachtrag:
was ich sagen will:
Mache doch daraus einen transparenten Proxy.
Dann bist flexibler und brauchst nicht bei jeder Änderung 400 Clients anfassen.
(Die doch bestimmt ihre Proxy Konfig. automatisch bekommen?)
Last edited by max on 04. Jun 2003 18:06, edited 1 time in total.

Descartes

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#7 Post by Descartes »

SquidGuard schon mal angeschaut?

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#8 Post by max »

ja, dachte ich auch schon dran.
Oder gleich nur eine ACL die für eine bestimmte URL einen Redirect durchführt.
Aber das würde doch alles nach wie vor durch den Proxy gehen.

Ich denke man sollte eher gucken, woran es liegt.
Leider rückt christoph nicht mit weiteren Infos raus.

Wenn er wirklich Admin über ein derartiges Netz ist, siehe seine anderen Fragen (1000 IP-Adressen, Sub-netting, Netzmasken), ist er IMHO herzlich überfordert und versucht eine Fehlkonfiguration mit einer anderen zu beheben.
Ich tippe auf Paketfilter im VPN. (in etwa: --sport $PROXY -j DROP,--sport $LAN -j ACCEPT) Kann aber natürlich auch ganz woanders dran liegen.)

Er könnte ja mal bessere Fragen stellen und wenigstens Feedback geben.

Gruss Max

cc
Posts: 191
Joined: 18. Apr 2003 18:04

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#9 Post by cc »

hallo maxi

"was hast _DU_ nicht verstanden?
Was ein transparenter Proxy ist?
Du weißt das Squid als trans. P. laufen kann?
Das dies nur aussagt das der HTTP-Traffic am Gateway/Router/Firewall rausfiltert und durch einen Proxy geleitet wird"

warum so agressiv ?
ich weiss ganz genau, was ein transparennter proxy ist, darf aber aufgrund des entscheid von der geschäftsleitung
trotz des besten willen, nicht einsetzen ! höhere macht, deshalb probiere ich es, einen anderen weg zu finden

"Wenn er wirklich Admin über ein derartiges Netz ist, siehe seine anderen Fragen (1000 IP-Adressen, Sub-netting,
Netzmasken), ist er IMHO herzlich überfordert und versucht eine Fehlkonfiguration mit einer anderen zu beheben.
Ich tippe auf Paketfilter im VPN. (in etwa: --sport $PROXY -j DROP,--sport $LAN -j ACCEPT) Kann aber natürlich auch
ganz woanders dran liegen.)
Er könnte ja mal bessere Fragen stellen und wenigstens Feedback geben."

muss man gerade so schnell die nerven verlieren, wenn man per sofort nicht antworten kann ?
oder war meine frage zu viel für dich und hat dich total überfordert ?
kann man da nicht etwas netter sein ?

"Leider rückt christoph nicht mit weiteren Infos raus."

leider diese webseite kannst du nicht ausprobieren, weil du zuerst einen VPN client installieren müsstest
und du müsstest ein Key, inklusive passworte von mir haben mit dem vollem zugriff auf alle maschinen.
das kann ich die doch nicht geben !
ist das so schwierig zu begreifen ?
welche INFOS brauchst du sonst genau ?
ich kann dir gerne mitteilen.

"Andersrum wird es nicht ohne transparenten Proxy funktionieren."

habe aber was gefunden.
vermutlich hast du von dem noch nie gehört oder übersehen:

# TAG: always_direct
# Usage: always_direct allow|deny [!]aclname ...
#
# Here you can use ACL elements to specify requests which should
# ALWAYS be forwarded directly to origin servers. For example,
# to always directly forward requests for local servers use
# something like:
#
# acl local-servers dstdomain my.domain.net
# always_direct allow local-servers


werde ich morgen ausprobieren und auf jeden fall Feddback geben.

viele grüsse und ich wünsche dir einen schönen und ruhigen Tag
christoph

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#10 Post by max »

>habe aber was gefunden.
>vermutlich hast du von dem noch nie gehört oder übersehen:

Genau, und du hast nicht gelesen was ich exakt ein Posting höher gepostet hatte:
>>ja, dachte ich auch schon dran.
>>Oder gleich nur eine ACL die für eine bestimmte URL einen Redirect durchführt.

Wenn du bei meinen Postings genauer hinguckst wirst du evt. lesen das ich nicht glaube das es hilft.
Falls doch, ok, Prima! Glück gehabt.


Bin nach wie vor der Meinung das es wichtiger ist zuerst zu erkennen was falsch läuft als solange rumzu basteln bis es wieder läuft.

Mit weiteren Infos meinte ich zB:
Was passiert wenn du vom Proxy-Server selbst mittels lynx auf die Webseiten zugreifen willst?
Was für eine Webseite ist es? ssl, streaming-Kram?
Was für Gateways,Router liegen dazwischen.
Filtert irgendetwas davon?

Weiß deine Geschäftsführung was ein trans.P. ist?

auf dein Feedback wartend...
Gruß Max

cc
Posts: 191
Joined: 18. Apr 2003 18:04

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#11 Post by cc »

hallo max

zu deinen fragen:

>Was passiert wenn du vom Proxy-Server selbst mittels lynx auf die Webseiten zugreifen willst?
kann ich leider nicht überprüfen, weil VPN Client läuft nicht unter linux.

>Was für eine Webseite ist es? ssl, streaming-Kram?
vermutlich weder noch und dieser webserver befindet sich in USA, zugriff erfolgt via http,
aber nur via VPN tunnel möglich und ich bekomme ein login screen.
die login seite sieht es aber nach java aus.
einloggen konnte bis jetzt leider noch nicht.
warte immer noch auf die logins von USA, dann könnte ich viel mehr dazu sagen.
ich habe eben nur den hinweis aus dem USA bekommen, dass es via proxy nicht funktioniert.
und nur ohne proxy funktioniert.

>Was für Gateways,Router liegen dazwischen.
wie das in USA selber verdratet ist, weiss ich nicht, war ich auch bis jetzt noch nie dort.
von meiner seite: ich gehe vom linux proxy direkt aufs firewall ( gleiches netz ).
habe aber auch eine maschine ausserhalb der firewall, dort habe auch probiert, passiert aber das gleiche.

microsoft sagt in knowledge base:
"this often occurs when an internet information server
tries to authenticate users using their windows
credentials.
this - however - is not supported through proxy connections."

diese art von authentifizierung wird es durch proxys nicht unterstützt.

>Weiß deine geschäftsführung was ein trans.P. ist ?
ich hoffe, auf jeden fall habe schon mehrmals erklärt.
das problem ist, dass meine geschäftsführung hört nicht auf mich sondern auf die geschäftsführung
von USA und wenn USA offiziell schreibt keinen trans. proxy einzusetzten, dann muss man gehorchen.
in USA ist es auch unsere mutter-zentralle.
wenn dich aber weitere politische strukturen und details dazu interessieren, kann ich die schreiben

so suche ich nach alternativen.

gruss
christoph

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#12 Post by max »

>>Was passiert wenn du vom Proxy-Server selbst mittels lynx auf die Webseiten zugreifen willst?
>kann ich leider nicht überprüfen, weil VPN Client läuft nicht unter linux.

also ihr habt auf den Client-Rechnern VPN-Clients.
Diese bauen durch die Firewall eine Verbindung zum Gegenstück in USA auf.
Der Client-Rechner schickt alle HTTP-Anfragen an den Proxy, der wiederum an die HTTP-Server.
Wie soll der Proxy denn auch die Verbindung über den VPN-Client aufbauen, wenn er selbst keine VPN-Verbindung hat?

Ich bei VPN davon ausgegangen, das ihr ein VPN-Gateway habt, und keine Client-Server Verbindnung.
Mein Fehler, dann hätte ich dir vorher sagen können das das nicht geht.

Allerdings würde dir auch dabei kein transparenter Proxy helfen.

Wenn ich dein Netz bis jetzt richtig verstanden habe, wird dir nichts anderes übrigbleiben als 400 Clients manuell anzufassen.... Oder hast du eine automatische Proxy-Konfig. die das für dich macht?

Gruss Max


(ein bissel verwundert, das trotz VPN-Client der Traffic über den Proxy geht...)

cc
Posts: 191
Joined: 18. Apr 2003 18:04

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#13 Post by cc »

ich wollte von anfang an, einen direkten tunnel von unserer firewall aufs firewall USA machen.
wurde aber von USA aus, abgelehnt.
so musste man bei den user überall VPN clients installieren.

cc
Posts: 191
Joined: 18. Apr 2003 18:04

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#14 Post by cc »

hallo max

gute nachrichten:
habe aber einen VPN client für linux ausfindig gemacht,
bei der proxy maschine installiert und jetzt funktioniert einwandfrei via proxy,
ohne vpn clients bei den user zu installieren.

schlechte nachrichten:
obwohl einwandfrei funktioniert, alles für katze.
meine chefs in usa lehnen es strickt ab und
wollen nicht via proxy, sondern ich muss bei den user überall vpn clients installieren.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: wie kann ich gewisse webseits aus dem squid proxy ausschliessen ?

#15 Post by max »

Ich würde mir die automatische Proxy-konfiguration angucken.
Dann kannst du die Proxy-Konfig auf den Clients Zentral verwalten.
Dann kannst du sicher IP-Bereiche vom Proxy ausschließen.

Habt ihr eine auto. Softwareverteilung?
Gemeinsames Boot-skript?
Es sollte irgendwie möglich sein bei allen Usern automatisch die Änderung in dem Browser anzupassen.
Egal ob Reg.-Key oder irgendeine Datei.

Admins haben das Netzwerk nur erfunden damit sie _nicht_ laufen müssen.
Gruss

Post Reply