Squid-Kit-Transparenter-Proxy: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 5: Zeile 5:
  
 
=Firewall Regeln für den Transparenten Proxy=
 
=Firewall Regeln für den Transparenten Proxy=
 +
== (iptables REDIRECT ==
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 80 --to-port 3129
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 80 --to-port 3129
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 443 --to-port 3130
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 443 --to-port 3130
 +
 +
== (nftables REDIRECT) ==
 +
;Tabelle und Kette anlegen:
 +
*nft add table ip nat
 +
*nft add chain ip nat prerouting '{ type nat hook prerouting priority dstnat; policy accept; }'
 +
;HTTP und HTTPS lokal umleiten:
 +
*nft add rule ip nat prerouting tcp dport 80 redirect to :3129
 +
*nft add rule ip nat prerouting tcp dport 443 redirect to :3130
 +
 
=Änderungen in der /etc/squid/squid.conf=
 
=Änderungen in der /etc/squid/squid.conf=
 
  #transparenter Zugriff unverschlüsselt
 
  #transparenter Zugriff unverschlüsselt
 
  http_port 3129 intercept
 
  http_port 3129 intercept
 
  #transparenter Zugriff verschlüsselt '''wichtig https_port'''
 
  #transparenter Zugriff verschlüsselt '''wichtig https_port'''
  https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on  
+
  https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
 
  
 
  ssl_bump bump all
 
  ssl_bump bump all

Aktuelle Version vom 1. Juli 2025, 10:13 Uhr

Schaubild

Vorraussetzung

Firewall Regeln für den Transparenten Proxy

(iptables REDIRECT

  • iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 80 --to-port 3129
  • iptables -t nat -A PREROUTING -j REDIRECT -s 172.16.113.0/24 -p tcp --dport 443 --to-port 3130

(nftables REDIRECT)

Tabelle und Kette anlegen
  • nft add table ip nat
  • nft add chain ip nat prerouting '{ type nat hook prerouting priority dstnat; policy accept; }'
HTTP und HTTPS lokal umleiten
  • nft add rule ip nat prerouting tcp dport 80 redirect to :3129
  • nft add rule ip nat prerouting tcp dport 443 redirect to :3130

Änderungen in der /etc/squid/squid.conf

#transparenter Zugriff unverschlüsselt
http_port 3129 intercept
#transparenter Zugriff verschlüsselt wichtig https_port
https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE

ssl_bump bump all

Restart von Squid

  • systemctl restart squid

Wenn der Proxy auf einem anderen Host

Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-Transparenter-Proxy&oldid=63565