[ djekovic.dejan @ 03.12.2009. 19:26 ] @
Pozdrav svima,

da li neko zna kako mogu da na firewall-u asa 5510 sav saobracaj uputim na squid proxy server ?

jedan nacin je da blokiram sav saobracaj koji dolazi do firewall-a , osim onoga koji dolazi sa proxy-ja, ali u ovom slucaju ipak kod korisnika moram da konfigurisem

browser, a poenta mog problema je sto zelim da ovo postignem bez podesavanja proxy-ja kod krajnjih korisnika !

[ bestragamuglava @ 03.12.2009. 19:49 ] @
>
Ti pitas za transparent squid proxy, ali nisi formulisao pitanje dovoljno jasno.

Da li hoces da instaliras squid na samom cisco firewall (sto je po
meni van pameti, ali svasta ljudima pada na pamet), ili hoces da
instaliras squid na posebnoj masini? U slucaju prethodnog, nemam
nikakav komentar. U slucaju ovog potonjeg, treba ti squid i masina, OS
po tvom izboru koji ide na masinu, pa onda mozes da postavljas razumna
pitanja.
[ djekovic.dejan @ 03.12.2009. 20:00 ] @
evo kakva je situacija kod mene :

na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.

wan interfejs ide na firewall, firewall ide na internet.

sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.

zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.

a sto se tice solucije squid transparent proxy-ja, ceo dan pokusavam, jos uvek nisam uspeo !
[ bestragamuglava @ 03.12.2009. 20:20 ] @
>
Citat:
On 12/3/09, djekovic.dejan <[email protected]> wrote:
> evo kakva je situacija kod mene :
>
> na linux masini imam pogidnut dhcp i squid proxy server . na jednom
> interferjsu je lan, na drugom wan.


Ukini dhcp server i svim masinama zadaj staticke ip adrese iz nekog
privatnog opsega. To je i inace preporucivo sa stanovista bezbednosti.
DHCP u lan ima smisla postavljati samo kada je to ad-hoc lan, npr.
neki seminar od tri dana, gde se ucesnici kace svojim lapovima na
mrezu.

Squid masinu obori i postavi da rutira izmedju interfejsa. Ukini
interfejsima ip adrese i postavi ih u bridge mode. Interni interfejs
ide u switch gde ti je prikopcana mreza, a eksterni u switch koji ide
u firewall. Masinama iz mreze zadajes default gateway adresu firewall.
Ostalo bi trebalo da radi bez problema. Imas temu gde je to covek
uradio pre par sedmica na bsdserbiadotorg pa pitaj ako nesto zapne.
[ djekovic.dejan @ 03.12.2009. 20:27 ] @
hvala ti na predlogu, ali to nije odgovor koji trazim.

situacija je malo komplikovanija, jer se ne radi o maloj mrezi.

svi korisnici koji su registrovani u mojoj mrezi imaju staticke ip adrese, koje se nalaze u dhcpd.conf. pored toga, svakom vlan-u sam dodelio address pool, u slucaju da se prikljuci neregistrovani korisnik.

sto se tice proxy-ja , ni to necu obarati, jer proxyjem kontrolisem saobracaj u mrezi, blacklistujem sve neprimerene sajtove, pratim posecivanje odredjenih sajtova , delim korisnike u grupe koje imaju odredjeni bandwidth itd.

sve u svemu, jedino sto me zanima je transparent proxy, sa svim ostalim sam zadovoljan.

(u svakom slucaju cu pogledati tvoju referencu)
[ srndach @ 03.12.2009. 20:28 ] @
Kad je tolika buka bila oko konzolnog kabla, kako li ce tek ovo da se zavrsi ... ?!
Ako se zavrsi ...




--0-1661225202-1259872134=:77867
Content-Type: text/html; charset=us-ascii

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman,new york,times,serif;font-size:12pt"><div><br></div><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 10pt;"><font face="Tahoma" size="2"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> djekovic.dejan &lt;[email protected]&gt;<br><b><span style="font-weight: bold;">To:</span></b> [email protected]<br><b><span style="font-weight: bold;">Sent:</span></b> Thu, December 3, 2009 9:00:12 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: ASA 5510 transparent proxy [elitesecurity.mreze.enterprise-networking]<br></font><br>
evo kakva je situacija kod mene :<br><br>na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.<br><br>wan interfejs ide na firewall, firewall ide na internet.<br><br>sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.<br><br>zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.<br><br>a sto se tice solucije squid transparent proxy-ja, ceo dan pokusavam, jos uvek nisam uspeo !<br><br>--<br><span><a target="_blank" href="http://www.elitesecurity.org/p2456421">http://www.elitesecurity.org/p2456421</a></span><br><br><span>Prijave/odjave: <a target="_blank" href="http://www.elitesecurity.org/liste">http://www.elitesecurity.org/liste</a></span><br><br>Ne menjajte sledece dve linije ukoliko odgovarate putem emaila!<br>esauth:383639:331b6536026b5ff8fbcf4d277babb92d<br>Odgovor
pisite *iskljucivo* ispod ove linije:<br><br>Kad je tolika buka bila oko konzolnog kabla, kako li ce tek ovo da se zavrsi ... ?!<br>Ako se zavrsi ...<br></div></div>
<!-- cg3.c901.mail.mud.yahoo.com compressed/chunked Wed Dec 2 10:04:29 PST 2009 -->
</div><br>




--0-1661225202-1259872134=:77867--
[ djekovic.dejan @ 03.12.2009. 20:32 ] @
da li imas neki pametnini predlog ?

problem je vrlo jasan, ali je resenje ocigledno veoma tesko.

dakle, transparent proxy ?
[ bestragamuglava @ 03.12.2009. 20:32 ] @
>
Citat:
On 12/3/09, djekovic.dejan <[email protected]> wrote:
> hvala ti na predlogu, ali to nije odgovor koji trazim.


Kada malo budes razmislio, shvatices da je upravo to odgovor koji
trazis. Ako ti je dhcp server neophodan, onda ga razdvoj.

Squid i dhcp server ne idu NIKAKO na istu masinu, to je definitivno. A
ako hoces transparent squid, onda dhcp server NE MOZE biti na istoj
masini.
[ djekovic.dejan @ 03.12.2009. 20:41 ] @
kada nadjem resenje, javicu vam !
[ bestragamuglava @ 03.12.2009. 20:56 ] @
>
Citat:

On 12/3/09, djekovic.dejan <[email protected]> wrote:
> kada nadjem resenje, javicu vam !


Nemoj! Nemoj, 'leba ti!

Ako budes uspeo da nadjes nacin da poteras transparent squid proxy na
masini od dva interfejsa (bez treceg) a da na istoj masini vozi i dhcp
server, PATENTIRAJ GA!

Posrami ceo svet, za*ebo Tanenbauma, Gatesa, Torvaldsa i sve ostale
pacere, ukljucujuci i autore squid. PATENTIRAJ I UZMI PARE!

Nama posalji razglednicu sa nekog tropskog ostrva i popisaj nas k'o
poslednje papane, a ja svecano obecavam da cu u tom slucaju da se
skinem go i prosetam centrom grada sa transparentom MOZE TRANSPARENT
PROXY & DHCP NA ISTOJ MASINI SA DVA INTERFEJSA i obezbedicu da me
slikaju novine pre nego sto me uhapse.

/logout
[ srndach @ 04.12.2009. 07:19 ] @


ASA ima 3 interfejsa ... i moze da bude DHCP, bez problema ...
Iskoristi, mozda to ... ?

I nemoj da se ljutis, nece ovde niko da razmislja umesto nekog drugog ...
A ti si vec dobrano diskreditovao sebe onim nesretnim konzolnim kablom ...
Stice se utisak da o svemu tome, vrlo malo znas ...
Niko ti nece dati gotovo resenje problema, pogotovo ako se bavis Alhemijom ...

Reci za pocetak sta ti treba ...
Hoces da ogranicis pristup internetu ?
Koristi ACL ...
Organizuj ASA, vrlo je mocna i moze svasta ...
Ima tri interfejsa ...

Ako hoces neko da ti resi ceo problem, od A do S, onda se spremi da (dobro) platis konsultantske usluge ...
[ bestragamuglava @ 04.12.2009. 08:14 ] @
>
Ako proxy masina na bilo koji nacin ima IP adresu, na bilo kom
stvarnom ili pseudo interfejsu, onda se ona nikako ne moze shvatiti
kao transparentni proxy. To je bila cela poenta mog sinocnjeg ispada.
[ bestragamuglava @ 04.12.2009. 08:45 ] @
>
Citat:
On 12/3/09, bestragamuglava <[email protected]> wrote:
>>
>>
>> On 12/3/09, djekovic.dejan <[email protected]> wrote:
>> > kada nadjem resenje, javicu vam !
>
> Nemoj! Nemoj, 'leba ti!
>
> Ako budes uspeo da nadjes nacin da poteras transparent squid proxy na
> masini od dva interfejsa (bez treceg) a da na istoj masini vozi i dhcp
> server, PATENTIRAJ GA!


Samo da jos i ovo preciziram, da ne bih setao go bez veze:

Moze da se napravi proxy + dhcp server na masini sa dva interfejsa i
da fingira transparentni proxy ako dhcp servira leases na alias ip
adresi jednog od interfejsa. Ali to onda nije transparentni proxy.
[ acatheking @ 04.12.2009. 11:52 ] @
Citat:

na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.
wan interfejs ide na firewall, firewall ide na internet.
sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.
zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.


Pokusavam da shvatim kako je sve povezano. Iz ovog gore sticem utisak da je sve povezado "redno". Dakle Lokalna mreza -> Proxy -> ASA -> Internet.
LAN korisnicima je def.gw upravo taj Proxy/DHCP server? Ne znam da li postoji na Linux-u, ali recimo na MikroTik-u moze sav saobracaj koji ide na TCP 80 da se "zaokrene" interno na proxy servis i dalje da se bolokiraju odredjene web adrese. Na taj nacin, korisnik i ne zna da je otisao na proxy (ja ovo smatram za Transparent proxy). Ako je ovakva postavka, ne vidim zasto bi bio problem da se na istoj masini nalazi i DHCP server. Ako je drugacija postavka, izvinjavam se sto potrosih malo prostora na forumu :)
[ Dusan Marjanovic @ 04.12.2009. 12:54 ] @
Jel tebi linux mašina inače gateway za klijente s obzirom da i na njoj imaš 2 interfejsa ili je to ASA?

U oba slučaja ono što je potrebno da uradiš je da kod NAT-a staviš pravilo da se klijentski web zahtevi proslede ka squid-u, s tim što ako je linux mašina gateway, onda praktično ceo posao završavaš na njoj.

Ako je, dakle, limux mašina gateway potebno je sledeće pravilo ako koristiš iptables i ako je port na kojem čeka squid 3128 (default):
Code:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


Takođe, ako nisi već potrebno je podesiti sledeće u squid konfiguraciji:

Code:
    
* httpd_accel_host virtual
* httpd_accel_port 80
* httpd_accel_with_proxy on
* httpd_accel_uses_host_header on


Ako je ipak ASA gateway, u principu hvataj zahteve na port 80 i preusmeravaj ih na squid, s tim što ćeš morati da vodiš računa i da odgovore vratiš na isti način :)
[ zivanicd @ 04.12.2009. 15:40 ] @
Kao sto je Dusan rekao.... ako ti je ASA gateway postavi access liste da preusmeravas sav saobracaj na squid.
Squid ne mora da ti bude u DMZu, mozes da ga postavis i u LAN mrezu (recimo IP 192.168.xx.200)

Squid ce ti izlaziti na net isto kao i ostali racunari u mrezi.

Na ASA postavi access liste da samo squid moze da izlazi na net prema portu 80 a ostali da se redirektuju u squid.

Proveri koja ti je verzija software-a. Na nekoj ne mozes da radis redirekcije na remote IP.

Razmisli o najjednostavnijem resenju: postavi svima rucno da koriste squid u browserima.

Mozes da pogledas malo i dokumentaciju na squid-cache sajtu. Ima sigurno podrska za trasnparent-squid sa ciscom :)

eh da.. i ne zaboravi da kada kompajliras squid uradish with-filedescriptors=30000 i enable-linux-netfilter.

pozzzzz
[ igor.vitorac @ 04.12.2009. 16:24 ] @
http://wiki.squid-cache.org/SquidFaq/InterceptionProxy
[ helium @ 04.12.2009. 22:10 ] @

Prvo moram da pitam cemu transparent proxy? Internet te toliko postao jeftin da ti to resenje realno ne treba!

Nego predlozio bih ti dva sledeca scenarija nadam se da se uklapa u tvoju pricu:

1. RACUNAR---PROXY---ASA---INTERNET

2. RACUNAR---ASA---INTERNET
|
|
|
PROXY (WCCP)

1. PROXY server je u ulozi bridga ili (bump in the wire), tako da je PROXY server u toj ulozi potpuno transparentan. (Ukoliko koristis tajne adrese odlicno, ukoliko nekada budes pozeleo da dodelis javni opseg u tom slucaju uputicu te kako da namestis da racunari zadrze javne adrese.)

2. Postoji naravno druga opcija tako da iskoristis prednosti ASE, sto kazu da ne trosi struju. Konfigurises squid sa podrskom za WCCP (Web Cache Communication Protocol), tako da cisco radi za tebe :D Cisco je lepo razvija taj protokol plus squid ga potpuno podrzava.

Ukoliko koristis DHCP server u nekoj ozbiljnijoj konfiguraciji izolovao bih na jedan racunar i stavio na asu u DMZ. I moj savet je da svim racunarima dodeljujes adrese preko dhcp-a. Razlog je u tome sto svakom promenom konfiguracije napravio si sebi posao.




[ Dusan Marjanovic @ 06.12.2009. 13:02 ] @
Ušteda bandwidtha nije jedina svrha proxija...
[ gogo82 @ 17.12.2009. 20:30 ] @
Mozda se kasno ukljucujem u raspravu ali mislim da je covjek pitao kako da kontrolise kojim sajtovima ce korisnici mreze da pristupaju ali samo pomocu pomocu ASA Firewall-a. To je tzv URL filtering.

Sam ASA (niti bilo koja serija Cisco firewall-a)m ne moze samostalno da vrsi URL filtriranje, ali Cisco za tu svrhu preporucuje koriscenje dodatnog servera, odnosno aplikacije Websense, koja pored funkcije URL filtriranja ima i jos neke dodatne funkcije, prije svega file extension filtriranje.

Za detaljnije moze se pogldeati na http://www.ssimail.com/Websense/Cisco%20PIX.pdf


Samo rjesenje je komercijalno (mislim, ali nisam 100% siguran) i ne zahtjeva koriscenje proxy servera a samim tim nema potrebe da se korisnicima podesava ni web browser. Jedino nisam siguran da li postoji verzija Websense-a za Linux.
[ jorganwd @ 11.01.2010. 14:34 ] @
A covjek je samo htio da na ASA-i namjesti da sve sto ide prema internetu po portu 80 da redirektuje na squid i tako ga pusti na net...