Neuling Transparenter Proxy

[tsom]

Squid-Konfiguration müsste funktionieren. Ich würde aber den X-Forwarded-For-Header deaktivieren.

Langsam wer wie wo was.

Überfordere mich nicht. Versuche was ich kann aber wo ist das denn?

Default LAN sollte nicht ausgestellt werden, zumindest ist es hier nicht notwendig. Der Proxy sollte sofort laufen, es sei denn er hat Schwierigkeiten selbst ins Internet zu kommen (z.B. DNS).

Welche Version läuft? Funktioniert ein Firmware-Update? Behebt es vielleicht sogar das Problem?


Grüsse
Franco

Menno, ich denke ich sollte die any Regeln ausschalten

@tsom

Deaktiviere mal die beiden ANY-Regeln!
Richte mal folgende Regeln ein:
IPv4 UDP LAN net * * 53 (DNS) *  DNS -> any   
IPv4 TCP LAN net * * 443 (HTTPS) *  HTTPS -> any

[tsom]

Es läuft aktuell:

Code: [Select]

OPNsense 16.7.12-i386
FreeBSD 10.3-RELEASE-p14
OpenSSL 1.0.2j 26 Sep 2016

aber:

Code: [Select]

***GOT REQUEST TO AUDIT***
vulnxml file up-to-date
curl-7.51.0_5 is vulnerable:
cURL -- buffer overflow
CVE: CVE-2016-9586
WWW: https://vuxml.FreeBSD.org/freebsd/42880202-c81c-11e6-a9a5-b499baebfeaf.html

squid-3.5.22 is vulnerable:
squid -- multiple vulnerabilities
CVE: CVE-2016-10003
CVE: CVE-2016-10002
WWW: https://vuxml.FreeBSD.org/freebsd/41f8af15-c8b9-11e6-ae1b-002590263bf5.html

2 problem(s) in the installed packages found.
***DONE***


[fabian]

Squid-Konfiguration müsste funktionieren. Ich würde aber den X-Forwarded-For-Header deaktivieren.

Langsam wer wie wo was.

Überfordere mich nicht. Versuche was ich kann aber wo ist das denn?

Proxy-Konfiguration - wenn das an ist, sendet er deine interne IP mit.

Default LAN sollte nicht ausgestellt werden, zumindest ist es hier nicht notwendig. Der Proxy sollte sofort laufen, es sei denn er hat Schwierigkeiten selbst ins Internet zu kommen (z.B. DNS).

Welche Version läuft? Funktioniert ein Firmware-Update? Behebt es vielleicht sogar das Problem?


Grüsse
Franco

Menno, ich denke ich sollte die any Regeln ausschalten

@tsom

Deaktiviere mal die beiden ANY-Regeln!
Richte mal folgende Regeln ein:
IPv4 UDP LAN net * * 53 (DNS) *  DNS -> any   
IPv4 TCP LAN net * * 443 (HTTPS) *  HTTPS -> any

Nein, weil das keine Auswirkung auf die Nutzung des Proxy-Servers hat. Das macht dann Sinn, wenn du nur noch zugelassene Ports nach außen erlauben willst.
PS: DNS braucht man normalerweise auch nur bis zur Firewall erlauben.

[tsom]

Nicht für ungut.

Aber jetzt bin ich ganz verwirrt 

Dann waren die Regeln so wie sie waren erst mal gut. Oder doch nicht?

X-Forwarded-For-Header gut zu wissen aber da es nicht funktioniert kümmere ich mich später drum!

Was ist denn jetzt Sache?

Fakt ist ich kann nicht über den Proxy auf HTTP Seiten zugreifen und habe keinen Plan woran es liegt 

[monstermania]

@tsom
So,
hier mal meine Basisregeln für meine OPNSense 16.7.12 mit transp. Proxy ohne SSL-Interception.
Läuft so bei mir seit einigen Wochen vollkommen problemlos.
Im Proxy ist die Shalla-List aktiv (Sperrliste).

Proto         Source            Port   Destination            Port         Gateway   Schedule   Description   
IPv4 TCP/UDP   LAN_WLAN_Bridge net   *      LAN_WLAN_Bridge address   53 (DNS)      *               DNS nur im internen Netz      
IPv4 UDP      LAN_WLAN_Bridge net   *      LAN_WLAN_Bridge address   123 (NTP)      *               NTP nur im internen Netz      
IPv4 TCP      LAN_WLAN_Bridge net   *      *                  443 (HTTPS)      *               HTTPS -> any      
IPv4 TCP      LAN_WLAN_Bridge net   *      *                  995 (POP3/S)   *               POP3 SSL -> any      
IPv4 TCP      LAN_WLAN_Bridge net   *      *                  993 (IMAP/S)   *               IMAP SSL -> any      
IPv4 TCP      LAN_WLAN_Bridge net   *      *                  SMTPSSL        *               SMTP SSL -> any      
IPv4 TCP      LAN_WLAN_Bridge net   *      127.0.0.1            3128         *               NAT redirect traffic to proxy   
IPv4 TCP      LAN_WLAN_Bridge net   *      This Firewall         22 (SSH)      *               SSH -> Firewall      

[tsom]

@monstermania
Und das hilft mir jetzt in wie fern weiter?

[franco]

An alle: Bitte freundlich bleiben und Verwirrung vermeiden. Die Lösung kann nicht schwierig sein.

[fabian]

kommt was an wenn der proxy deaktiviert ist und netcat (nc) auf 127.0.0.1:3128 hört? Man sollte was sehen, was mit "GET /" anfagen sollte.

[tsom]

@fabian
Könntest du mir bitte zu erst sagen was für Firewall Rules ich in Lan einstellen muss oder sollte damit ich mir nicht noch mehr Fehler einbaue als anscheind ja sowieso schon sind.
franko und monstermania sind sich anscheinend nicht einig und haben mich jetzt total verwirrt.

Wäre mir lieb wenn wir das Schritt für Schritt vergleichen dann findet sich ja eventuell der Fehler.

Code: [Select]

* * * LAN Address 443 80 222 *   Anti-Lockout Rule
IPv4 * LAN net * * * * Default allow LAN to any rule
Deaktiviert => IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
Deaktiviert => IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
IPv6 * LAN net * * * * Default allow LAN IPv6 to any rule
IPv4 TCP LAN net * 127.0.0.1 3128 * NAT redirect traffic to proxy


[fabian]

die Filterregel ist ok.

nat muss wie folgt aussehen (und tut es vermutlich auch):
from lan_net:any to any:80 nat-to 127.0.0.1:3128

In der NAT-Ansicht kannst du eine Zugehörige Filterregel erstellen lassen (die letzte Regel bei dir), damit du eine Regel hast, die funktioniert.
Da du vorher aber sowieso aus lan_net alles erlaubst (any:any) müsste es auch ohne diese Regel funktionieren. Ich würde sie aber lieber drin lassen, falls du die any:any-Regel mal abdrehen solltest.

[tsom]

Danke Fabian

Firewall: NAT: Port Forward

Code: [Select]

LAN TCP * * LAN address 443 80 222 * * Anti-Lockout Rule
LAN TCP LAN net * * 80 (HTTP) 127.0.0.1 3128 redirect traffic to proxy

Ich denke das ist gut so.

[fabian]

Danke Fabian

Firewall: NAT: Port Forward

Code: [Select]

LAN TCP * * LAN address 443 80 222 * * Anti-Lockout Rule
LAN TCP LAN net * * 80 (HTTP) 127.0.0.1 3128 redirect traffic to proxy

Ich denke das ist gut so.

Ja, ist es

[tsom]

Das ist super nochmals Danke für deine Hilfe!

Aber ... habe Proxy angestellt und auf Transparent gespeichert und http Seiten gehen immer noch nicht.
Da muß doch irgendwo was ganz blöde laufen.

[fabian]

Das einzige was mir einfallen würde, ist eben dass der Proxy nicht läuft.

Deaktiviere mal den Proxy ohne die Regel zu entfernen und führe dann das hier auf der Shell aus:

nc -l -p 3128

Wenn beim Aufruf einer HTTP-Webseite was auf der Shell zur Anzeige kommt, funktionieren die Firewallregeln.
Wenn das geht, solltest du den Proxy wieder einschalten. Wenn es dann nicht geht, ist vielleicht dein squid-Binary defekt.

[tsom]

Hallo Fabian

Code: [Select]

nc -l -p 3128
usage: nc [-46DdEFhklNnrStUuvz] [-e policy] [-I length] [-i interval] [-O length]
  [-P proxy_username] [-p source_port] [-s source] [-T ToS]
  [-V rtable] [-w timeout] [-X proxy_protocol]
  [-x proxy_address[:port]] [destination] [port]

Nach wildem rumprobieren mit den Optionen da Googlen nicht möglich ist und die Installation ja nahezu Orginal ist werde ich einfach mal neu installieren.

Habe so langsam die Faxen dicke.

Die Lösung kann nicht schwierig sein.

Na dann ...