Grundlegende Konfiguration eines Proxyservers

Supportdatenbank (tsaupe_proxy)
Bezieht sich auf

SuSE Linux: Versionen ab 8.0

Anliegen

Sie möchten für Ihr internes Netzwerk einen Internetzugang einrichten.

Neben dem Einrichten von Masquerading und Routing, wie z.B. in Artikel ISDN-Gateway für private Netzwerke ab SuSE Linux 8.0 beschrieben, gibt es dafür auch noch die Möglichkeit auf dem Router einen Proxyserver einzurichten.

Ein Proxyserver hat den Vorteil, daß bei dessen Nutzung keine Pakete aus dem Internet direkt in das interne Netzwerk gelangen. TCP Pakete werden vom Proxy selbst verarbeitet und das Ergebnis dem internen Netzwerk zur Verfügung gestellt. Außerdem ist eine genauere Einstellung der Zugriffsrechte, sowie des Loggings möglich.
Die hier besprochenen Cache Proxies werden hauptsächlich zum Zugriff auf das Internet über Webbrowser genutzt. Dienste wie Real Audio, News oder Videokonferenzen werden nicht unterstützt. Soll auch der Emailverkehr per SMTP über den Router laufen ist dafür die Einrichtung eines Mail Transfer Agents erforderlich.

Bitte beachten Sie aber, daß auch ein Proxyserver nur so sicher ist, wie seine Konfiguration. Sie sollten zusätzlich Ihren Router, zumindest mit der Personal Firewall, vor unberechtigten Zugriffen aus dem Internet schützen.
Dazu tragen Sie in der Datei /etc/sysconfig/personal-firewall folgendes ein:
	REJECT_ALL_INCOMING_CONNECTIONS=< Ausgehendes Device >
< Ausgehendes Device > ist dabei, je nachdem ob es sich um eine ISDN oder DSL Verbindung handelt, entweder ippp0 oder ppp0.
Weitere Informationen dazu finden Sie im Artikel: Firewall benutzen

Vorgehen

Unter SuSE Linux sind in der Professional Version die beiden Proxyserver squid und wwwoffle verfügbar. Die folgende Anleitung bezieht sich auf die Einrichtung von squid.

Installieren Sie das Paket squid aus der Paketgruppe:

	Netzwerk/Server
Die Konfiguration von squid ist in der Datei:
	/etc/squid/squid.conf
enthalten.

Die meisten Einstellungen können Sie zunächst auf den voreingestellten Werten belassen. Um vom Client aus Zugriff zu erhalten sind lediglich die Einträge unter: acl und http_access anzupassen. Außerdem sollte aus Sicherheitsgründen noch die Einstellung unter: http_port angepaßt werden.

Suchen Sie dazu in squid.conf die Einträge:

	acl all src 0.0.0.0/0.0.0.0
	acl manager proto cache_object
	acl localhost src 127.0.0.1/255.255.255.255
und ändern Sie diese wie folgt ab:
        acl all src 0.0.0.0/0.0.0.0
        acl manager proto cache_object
        acl localhost src 127.0.0.1/255.255.255.255
	acl SSL_ports port 443 563
	acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 1025-65535
	acl CONNECT method CONNECT
        acl allowed_hosts src 192.168.10.0/255.255.255.0
Beachten Sie dabei, daß Sie in: acl allowed_hosts src 192.168.10.0/255.255.255.0 anstelle der Netzwerkadresse 192.168.10.0 die Adresse Ihres eigenen Netzwerkes angeben, sowie gegebenenfalls die Netmask 255.255.255.0 entsprechend anpassen müssen.

Ändern Sie als nächstes die Einträge unter:

	http_access allow localhost
	http_access deny all
auf:
	http_access allow manager localhost
	http_access deny manager
	http_access allow localhost
	http_access deny !Safe_ports
	http_access deny CONNECT !SSL_ports
	http_access allow allowed_hosts
	http_access deny all
Um auch vom Router aus Zugriff auf den Proxyserver zu haben, sollten Sie zusätzlich den Eintrag: http_access allow localhost in der Konfiguration belassen.

Zuletzt müssen Sie noch den Eintrag:
	# http_port 3128
auf:
	http_port < ip-nach intern > :3128
ändern.
Ersetzen Sie den Eintrag < ip-nach intern > mit der IP Adresse der Netzwerkkarte, an der das interne Netzwerk angeschlossen ist. Falls diese z.B. 192.168.0.1 ist, muß der Eintrag folgendermaßen aussehen:
        http_port 192.168.0.1:3128

Sie können den Proxyserver nun als root mit dem Befehl: rcsquid start starten. Möchten Sie den Proxyserver beim Systemstart automatisch starten, können Sie diesen im Yast2 Kontrollzentrum unter System > Runlevel-Editor in den Runlevel Eingenschaften für den gewünschten Runlevel aktivieren.

Vergessen Sie nicht den Webbrowser Ihres Clients für Internetzugriffe auf Ihren Proxyserver einzustellen. Dazu müssen in den Proxyeinstellungen des Browsers die IP Adresse und der Port, welche in squid.conf in der Variable http_port eingetragen wurden, angegeben werden.

Je nach Einsatzgebiet ist die Abänderung weiterer voreingestellter Parameter für squid empfehlenswert.
So ist es z.B. nicht immer erwünscht, daß die vollständigen URLs aller besuchten http-Seiten komplett mitgeloggt werden. Um das Logging komplett Abzustellen müssen Sie die folgenden Änderungen vornehmen:
	cache_access_log /dev/null
	cache_log /dev/null
	cache_store_log none
Eine ausführliche Beschreibung der Parameter finden Sie in Ihrem Administrationshandbuch im Kapitel: Proxy-Server: Squid.

Beachten Sie bitte, dass die Einrichtung eines Proxyservers weder im Umfang des kostenfreien noch des Advanced Support Services enthalten ist.
Stichwörter: PROXY, SQUID, WWWOFFLE, GATEWAY

Kategorien: Internet

SDB-tsaupe_proxy, Copyright SuSE Linux AG, Nürnberg, Germany - Version: 28. Jan 2003
SuSE Linux AG - Zuletzt generiert: 31. Jan 2003 von tsaupe (sdb_gen 1.40.0)