ExteeC
|
Erst einmal vorab viele Grüße an alle hier im Board !
Ich bin dabei einen Squid Proxy Version 2.7.Stable7 transparent zu betreiben. Dieser befindet sich in der DMZ und läuft auf einem Ubuntu x64 Server 10.04. Der Datenverkehr zwischen Internen Netz (Vlan1), DMZ (Vlan3) und outside Netz (Vlan2) erfolgt über eine ASA 5505.
Das Problem ist nun folgendes:
Wenn ich den Proxyeintrag im Browser vom Clienten aktiviere (inside|Vlan1), funktioniert der Seitenaufbau mit und ohne DNS Auflösung. Wenn ich ohne Proxy-Eintrag versuche einen Seitenaufbau herzustellen, wird der Server nicht gefunden, auch wenn ich im Browser des Clienten die IP direkt eingebe um eine DNS Abfrage zu umgehen und direkt über Port 80 zu kommunizieren.
Wenn ich mit der capture Funktion von der ASA aus das Interface von der dmz|Vlan3 logge, kommen auch ohne Proxyeintrag im Browser der Clienten, Anfragen zu dem Squid (10.0.1.1). Also bin ich der Annahme, dass die ASA soweit richtig Konfiguriert ist, da sie ja die Pakete weiterleitet. Meine Vermutung bezieht sich auf iptables aber ich bin mir nicht wirklich sicher, da ich mich damit so gut wie garnicht auskenne. Die Einträge für das wccp und die dazu gehörigen Accesslisten sind noch von meinen vorherigen versuchen und bewirken meiner Meinung nach keine Wirkung bzw. behindern den Datenaustausch nicht.
Die Konstellation ist folgend aufgebaut:
- Im Inside-Netz und sowohl auch in der DMZ läuft kein DHCP
- Interneteinwahl erfolgt über PPPOE
- Der Ubuntu Server besitzt DNS Einträge vom Provider
Konfiguration Client intern:
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-23-54-40-3D-C6
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.0.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.0.254
DNS-Server. . . . . . . . . . . . : 10.0.1.1
Link encap:Ethe
Konfiguration Ubuntu Server:
rnet Hardware Adresse 00:11:d8:12:fe:f9
inet Adresse:10.0.1.1 Bcast:10.0.1.255 Maske:255.255.255.0
iptables –t –nat –A PREROUTING –s 10.0.0.0/24 –p tcp –m tcp –dport 80 –j REDIRECT –to-ports 8080
Veränderte Einstellungen am Proxy:
acl intranet src 10.0.0.0/24
http_access allow intranet
http_port 10.0.1.1:8080 transparent
wccp2_router 10.0.1.254
ASA Config:
Traffic von der DMZ mit der Capture Funktion.
Anfrage mit Proxyeintrag im Browser:
Anfrage mit Namensauflösung (Ohne Proxyeintrag im Browser):
Anfrage ohne Namensauflösung:
Ich habe mittlerweile etliche Anleitungen von Google gelesen, alles paar mal umgestellt, den Datenverkehr von den Vlans mitgelesen... 24h ....
Ich bitte um Rat, ich weis nichtmehr weiter.
Ich bin dabei einen Squid Proxy Version 2.7.Stable7 transparent zu betreiben. Dieser befindet sich in der DMZ und läuft auf einem Ubuntu x64 Server 10.04. Der Datenverkehr zwischen Internen Netz (Vlan1), DMZ (Vlan3) und outside Netz (Vlan2) erfolgt über eine ASA 5505.
Das Problem ist nun folgendes:
Wenn ich den Proxyeintrag im Browser vom Clienten aktiviere (inside|Vlan1), funktioniert der Seitenaufbau mit und ohne DNS Auflösung. Wenn ich ohne Proxy-Eintrag versuche einen Seitenaufbau herzustellen, wird der Server nicht gefunden, auch wenn ich im Browser des Clienten die IP direkt eingebe um eine DNS Abfrage zu umgehen und direkt über Port 80 zu kommunizieren.
Wenn ich mit der capture Funktion von der ASA aus das Interface von der dmz|Vlan3 logge, kommen auch ohne Proxyeintrag im Browser der Clienten, Anfragen zu dem Squid (10.0.1.1). Also bin ich der Annahme, dass die ASA soweit richtig Konfiguriert ist, da sie ja die Pakete weiterleitet. Meine Vermutung bezieht sich auf iptables aber ich bin mir nicht wirklich sicher, da ich mich damit so gut wie garnicht auskenne. Die Einträge für das wccp und die dazu gehörigen Accesslisten sind noch von meinen vorherigen versuchen und bewirken meiner Meinung nach keine Wirkung bzw. behindern den Datenaustausch nicht.
Die Konstellation ist folgend aufgebaut:
- Im Inside-Netz und sowohl auch in der DMZ läuft kein DHCP
- Interneteinwahl erfolgt über PPPOE
- Der Ubuntu Server besitzt DNS Einträge vom Provider
Konfiguration Client intern:
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-23-54-40-3D-C6
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.0.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.0.254
DNS-Server. . . . . . . . . . . . : 10.0.1.1
Link encap:Ethe
Konfiguration Ubuntu Server:
rnet Hardware Adresse 00:11:d8:12:fe:f9
inet Adresse:10.0.1.1 Bcast:10.0.1.255 Maske:255.255.255.0
iptables –t –nat –A PREROUTING –s 10.0.0.0/24 –p tcp –m tcp –dport 80 –j REDIRECT –to-ports 8080
Veränderte Einstellungen am Proxy:
acl intranet src 10.0.0.0/24
http_access allow intranet
http_port 10.0.1.1:8080 transparent
wccp2_router 10.0.1.254
ASA Config:
Code:
ASA Version 8.2(2)
!
hostname TA01
enable password Vf39oFA.BHXFBtPP encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
ddns update method dnsauto
!
!
interface Vlan1
no forward interface Vlan2
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group pppoe_group
ip address pppoe setroute
!
interface Vlan3
nameif dmz
security-level 50
ip address 10.0.1.254 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
access-list toin extended permit tcp any interface outside eq 20022
access-list toin extended permit icmp any any
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq www
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq pop3
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq domain
access-list dmztoout extended permit icmp 10.0.1.0 255.255.255.0 any
access-list dmztoout extended permit udp 10.0.1.0 255.255.255.0 any eq domain
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq 8080
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq ssh
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq www
access-list intodmz extended permit udp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain
access-list intodmz extended permit icmp 10.0.0.0 255.255.255.0 any
access-list WC extended permit ip host 10.0.1.1 any
access-list WCA extended deny ip host 10.0.1.1 any
access-list WCA extended permit tcp any any eq www
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (dmz) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp interface 20022 10.0.1.1 ssh netmask 255.255.255.255
access-group intodmz in interface inside
access-group toin in interface outside
access-group dmztoout in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 10.0.0.0 255.255.255.0 inside
ssh timeout 10
ssh version 2
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname t-online-com/xxxxxx@t-online-com.de
vpdn group pppoe_group ppp authentication pap
vpdn username t-online-com/xxxxxx@t-online-com.de password *****
dhcpd ping_timeout 750
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
wccp web-cache redirect-list WCA group-list WC
wccp interface dmz web-cache redirect in
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
call-home
profile CiscoTAC-1
no active
destination address http [url]https://tools.cisco.com/its/service/oddce/services/DDCEService[/url]
destination address email [email]callhome@cisco.com[/email]
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:412815894762fded66ec16680f3442ab
: end
Traffic von der DMZ mit der Capture Funktion.
Anfrage mit Proxyeintrag im Browser:
Code:
1: 06:46:49.763464 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: P 2468944496:2468945678(1182) ack 4262144296 win 65076
2: 06:46:49.764349 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468945678 win 26220
3: 06:46:49.764395 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: P 4263580593:4263581832(1239) ack 3657523742 win 1967 <nop,nop,timestamp 3798212 3655742593>
4: 06:46:49.890380 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . ack 4263581832 win 664 <nop,nop,timestamp 3655754861 3798212>
5: 06:46:50.370586 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . 3657523742:3657525110(1368) ack 4263581832 win 664 <nop,nop,timestamp 3655755331 3798212>
6: 06:46:50.371791 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: . ack 3657525110 win 1947 <nop,nop,timestamp 3798364 3655755331>
Code:
1: 06:52:29.038251 802.1Q vlan#3 P0 10.0.0.1.53618 > 10.0.1.1.53: udp 31
2: 06:52:29.038907 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable
3: 06:52:30.825976 802.1Q vlan#3 P0 arp who-has 10.0.1.254 tell 10.0.1.1
4: 06:52:30.826647 802.1Q vlan#3 P0 arp reply 10.0.1.254 is-at 0:27:d:2d:c7:b3
5: 06:52:33.302581 802.1Q vlan#3 P0 10.0.0.1.57094 > 10.0.1.1.53: udp 37
6: 06:52:33.303237 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable
7: 06:52:35.828509 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048: udp 144
8: 06:52:35.829302 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048: udp 140
8 packets shown.
Code:
1: 06:50:14.872208 802.1Q vlan#3 P0 10.0.0.1.56591 > 10.0.1.1.53: udp 29
2: 06:50:14.872849 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable
3: 06:50:15.818439 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048: udp 144
4: 06:50:15.819247 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048: udp 140
5: 06:50:17.086070 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: F 4256437164:4256437164(0) ack 13251037 win 31740
6: 06:50:17.087001 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: . ack 4256437165 win 65535
7: 06:50:19.145088 802.1Q vlan#3 P0 10.0.0.1.59913 > 10.0.1.1.53: udp 37
8: 06:50:19.145713 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable
9: 06:50:21.751532 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: F 13251037:13251037(0) ack 4256437165 win 65535
10: 06:50:21.752433 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: . ack 13251038 win 31740
11: 06:50:25.819400 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048: udp 144
12: 06:50:25.820209 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048: udp 140
13: 06:50:28.094767 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: F 4262174272:4262174272(0) ack 2468949299 win 36531
14: 06:50:28.095743 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: . ack 4262174273 win 65535
15: 06:50:35.820437 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048: udp 144
16: 06:50:35.821261 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048: udp 140
17: 06:50:36.748343 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: F 2468949299:2468949299(0) ack 4262174273 win 65535
18: 06:50:36.749244 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468949300 win 36531
18 packets shown.
Ich bitte um Rat, ich weis nichtmehr weiter.
Zuletzt bearbeitet: