Deutsch

Hallöchen,

erst einmal möchte ich ein dickes Lob an den/die Macher dieser Software aussprechen. Ich war bisher jahrelanger fli4l-Benutzer und suchte schon lange nach einer flexibleren Lösung in diesem Bereich. m0n0wall erfüllt bisher alle Anforderungen und war binnen Minuten auf meinem WRAP installiert und eingerichtet, 1A!

Natürlich habe ich aber aufgrund der neuen Möglichkeiten noch über einige Dinge nachgedacht, die man in diesem Zusammenhang in unserem Netzwerk umsetzen könnte. Für die Zukunft schwebt es mir vor, das ich ein internes Netz + DMZ einrichte. Aus der DMZ heraus blockt die Firewall keine Zugriffenach aussen, lediglich im internen Bereich würde ich gerne baldmöglichst einen Proxy-Server einsetzen.

Nun meine Fragen hierzu:
Soweit meine Recherchen bisher ergeben haben, dürfte es ansich schonmal kein Problem sein den ausgehenden Traffic per m0n0wall zu blocken bzw. nur noch über den Proxyserver zu erlauben. Die Benutzer richten also den Proxy (z.B. im Browser) ein und das Surfen kann darüber weitergehen. Ich würde das ganze aber sehr gerne als "transparente" Proxy-Lösung regeln - einerseits weil es dann bei der Konfiguration der Clients einfacher ist, andererseits da man es zentraler steuern kann und es eben automatisch läuft. Soweit ich es aber bisher in den FAQ und der Doku von m0n0wall entnehmen konnte, ist dies noch nicht möglich, oder liege ich damit falsch? Ich benutze derzeit die offizielle Stable-Version, hat sich dahingehend evtl. in der Beta bereits etwas geändert?

pfSense als "Weiterentwicklung" bzw. Ergänzung habe ich natürlich schon im Web gefunden und auch gesehen, das eine solche Funktionalität bereits integriert ist. Diese Lösung läuft aber wohl auf der Firewall selbst - und da habe ich arge Bedenken, ob das auf einem WRAP Sinn macht bzw. überhaupt möglich ist (aufgrund der CPU und den Schreibzugriffen auf der CF-Card). Oder ist das ganze dort auch über einen externen Rechner möglich?

Würde mich freuen, wenn einige von euch mir hierzu ein paar Ratschläge geben könnte :-)

Ich habe zwischenzeitlich zu der Sache noch einige Infos im Netz gefunden. Auf:

http://socalfreenet.org/node/280

wird die Konfiguration von Squid als "redirected transparent proxy server" bereits beschrieben. Als Router bzw. Firewall wird allerdings MikroTik (http://www.mikrotik.com/) eingesetzt. Nach erstem Begutachten der Seite schaut diese Routerlösung ähnlich wie die WRAP-Maschinen aus, die Software ist natürlich eine kommerzielle des Herstellers.

Auf:

http://socalfreenet.org/node/281

wird dann die Konfiguration angegeben, insbesondere

The basic idea is to redirect all outbound traffic on port 80 to the squid server. The devil is the details!

[...]

Set up a rule for Destination Nat that sends all traffic on port 80 to the squid server, except traffic from the server itself, and, in our case where we have a captive portal, excepting traffic to the captive portal too (though maybe it works ok anyway?).

[...]

The squid box must send all replies back to the gateway, not to the requesting machine directly - its not expecting them! So in the squid box's file /etc/network/interfaces is the extra line:

up "route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.1"

which adds a static route to force all traffic on the squid's subnet (10.0.0.x) back to the gateway which will in turn route back to the correct host.

Ich persönlich bin auch ein Freund davon, das m0n0wall funktionell gesehen lediglich die Firewall- und Routingfunktionen erfüllt. Den ausgehenden Traffic auf Port 80 auf einen anderen Rechner im LAN umzuleiten sollte auch nicht das Problem darstellen, der umgekehrte Weg vom Squid-Server ins Web bzw. von dort zurück zum Client bereitet mir derzeit aber ein paar Schwierigkeiten, sofern das überhaupt machbar ist.