ipcop Ports auf Proxy umleiten

#1 Hallo,
ich habe ipcop installiert und möchte nun, dass alle Clients den Proxy von ipcop nutzen. Um an den Clients keine Einträge vornehmen zu müssen gibt es die Möglichkeit einen transparenten Proxy einzurichten. Das hat aber den Nachteil , dass ich nicht mit Benutzerauthentifizierung arbeiten kann und alle Anfragen die nicht auf Port 80 gehen (z.B. 443 o.ä.) am Proxy vorbeilaufen.
In der Beschreibung zum Proxy wird noch die Möglichkeit beschrieben, alle anderen Port die gewöhnlich für Internetseiten benötigt werden auf der Firewall zu sperren. Angeblich würden dann automatisch alle Anfragen über den Proxy laufen. Wenn ich aber die in der Beschreibung aufgeführte Firewallregel eintrage, dann können Internetseiten die z.B. über den Port 443 laufen (https://) gar nicht mehr aufgerufen werden, obwohl sie im Proxy nicht gesperrt sind.
Vielleicht kann mir jemand weiterhelfen und mir sagen, was ich eintragen muß, damit solche Anfragen tatsächlich über den Proxy laufen und damit auch reglementiert werden können.
Sollte ich noch Infos vergessen haben, nicht gleich böse werden. Ich werde sie dann selbstverständlich gerne nachreichen.

Im Voraus besten Dank
caitoo

#2 man iptables

Oder gibts das bei ipcop nicht?

iptables -A PREROUTING -t nat -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80,443 -j REDIRECT --to-ports 80

So ungefähr müßte es gehen, sofern dein proxy (squid?) auf port 80 konfiguriert ist.
Damit der aber transparent ist brauch der Proxy selber soweit ich weiss noch Einstellungen (bei squid war es auf jedenfall so).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3

Zitat

Xeper postete
man iptables

Oder gibts das bei ipcop nicht?

iptables -A PREROUTING -t nat -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80,443 -j REDIRECT --to-ports 80

So ungefähr müßte es gehen, sofern dein proxy (squid?) auf port 80 konfiguriert ist.
Damit der aber transparent ist brauch der Proxy selber soweit ich weiss noch Einstellungen (bei squid war es auf jedenfall so).

man iptables gibt es unter ipcop nicht. Die Manpages werden nicht installiert. Ich habe mir die Manpage aber auf einem anderen Rechner angeschaut und ich hatte auch schon das eine oder andere getestet. Hat leider nicht funktioniert.
Die Regel die Du mir empfohlen hast sah auch sehr vielversprechend aus. Die gleiche Regel benutzt der ipcop auch um alle Anfragen auf den Port 80 auf den Proxy umzuleiten und damit als transparenter Proxy zu funktionieren.
Ich hatte auch gehofft mit der gleichen Regel für die anderen Ports zum gewünschten Ergebnis zu kommen. Wenn ich das aber für den Port 443 mache dann lande ich beim Aufruf einer entsprechenden Seite nicht auf der tollen Meldung meines Proxys sonder ich bekomme eine Fehlermeldung vom Browser die da lautet (beim Versuch sich bei ebay einzuloggen):
"signin.ebay.de hat eine falsche oder unerwartete Nachricht gesendet. Fehler-Code: -12263"
Zur Info: Ich benutze den Mozilla Firefox. ipcop lauscht auf Port 800 und Internetseiten, die über Port 80 erreichbar werden komischerweise korrekt über den Proxy abgefragt. Alles andere offensichtlich nicht.

Bin für jede Hilfe dankbar.

caitoo

#4

Zitat

man iptables gibt es unter ipcop nicht. Die Manpages werden nicht installiert.

Bitte sofort dann einfach entsorgen, dass ist Grundbaustein überhaupt.

Zitat

Wenn ich das aber für den Port 443 mache dann lande ich beim Aufruf einer entsprechenden Seite nicht auf der tollen Meldung meines Proxys sonder ich bekomme eine Fehlermeldung vom Browser die da lautet (beim Versuch sich bei ebay einzuloggen):
"signin.ebay.de hat eine falsche oder unerwartete Nachricht gesendet. Fehler-Code: -12263"

Kann sich durchaus um ein Proxy Problem handeln, du hast leider nicht geschrieben ob du denn nun Squid nutzt oder etwas anderes.
Ich habe ja schon geschrieben das Squid definitiv extra Regeln für transparentes "dasein" benötigt.

Zitat

Die Regel die Du mir empfohlen hast sah auch sehr vielversprechend aus. Die gleiche Regel benutzt der ipcop auch um alle Anfragen auf den Port 80 auf den Proxy umzuleiten und damit als transparenter Proxy zu funktionieren.

Ja natürlich, ipcop ist ja Müll nichtmal manpages die gehören zu jedem vernünftigen OS - das wär schon ein Grund für mich die Sache fallen zu lassen.
Bei --dport 80,443 bin ich mir nicht ganz so sicher ob man das per komma trennen darf - du könntest ja auch mal 2 Regeln versuchen eine für tcp/80 die andere für tcp/443.
Bedenke aber das wenn du iptables -A machst das die Regeln dann in der chain sind und du die erst mit -D löschen kannst also bitte nicht doppelt rein machen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode