Proxy und HTTPS

Hallo,
ich habe eine FritzBox und daran ist ein OpenBSD Rechner angeschlossen, der meine Firewall werden soll.
Meine Arbeitsrechner sind an der Firewall angeschlossen.

Auf dem OpenBSD Rechner hab ich squid installiert.
Am Arbeitsrechner gebe ich keinen Proxy ein. Ich leite alle Eingehenden Verbindungen per Packet Filter mit Zielport 80 auf meinem Proxy um.

Hier mein Packet Filter eintrag:
rdr on $int_if proto tcp from any to any port 80 -> 127.0.0.1 port 3128

Was muss ich machen damit auch https funktioniert. Braucht auch nicht per Squid funktionieren.
Ich möchte einfach auf den Arbeitsplatzrechner keinen Proxy eingeben müssen.

Hallo,

ich habe eine FritzBox und daran ist ein OpenBSD Rechner
angeschlossen, der meine Firewall werden soll.
Meine Arbeitsrechner sind an der Firewall angeschlossen.

Auf dem OpenBSD Rechner hab ich squid installiert.
Am Arbeitsrechner gebe ich keinen Proxy ein. Ich leite alle
Eingehenden Verbindungen per Packet Filter mit Zielport 80 auf
meinem Proxy um.

Hier mein Packet Filter eintrag:
rdr on $int_if proto tcp from any to any port 80 ->
127.0.0.1 port 3128

Dass der Standard-Port für Https 443 ist, weisst du sicher.

Was muss ich machen damit auch https funktioniert. Braucht
auch nicht per Squid funktionieren.
Ich möchte einfach auf den Arbeitsplatzrechner keinen Proxy
eingeben müssen.

Ich hatte mal vor Jahren mit Kollegen zusammen einen Suse 7.2 Rechner mit Proxy aufgesetzt der Routerfunktionen übernahm.
Es gab da eine Einstellung im Browser und/oder Proxy, die es unnötig machte den Proxy explizit immer angeben zu müssen. Weiss der Teufel wo - ist schon zu lange her.
Vielleicht fragst du mal im Linux-Board oder bittest den Mod den Thread dorthin zu verschieben.

Grüss max

Es gab da eine Einstellung im Browser und/oder Proxy, die es
unnötig machte den Proxy explizit immer angeben zu müssen.

Ist doch gar nicht nötig! Wenn er den https-Port in der Firewall genauso umbiegt, wie er das mit http schon gemacht hat (nämlich client:443 -> Server:3128) , erübrigt sich jede Einstellung am Browser bzw. am Client-PC.

Gruß

Hallo,

Es gab da eine Einstellung im Browser und/oder Proxy, die es
unnötig machte den Proxy explizit immer angeben zu müssen.

möglicherweise meinst du das Web-Proxy-Autodiscovery-Protokoll (WPAD, vgl. etwa ).


PHvL

Ich möchte einfach auf den Arbeitsplatzrechner keinen Proxy
eingeben müssen.

Google danach, wie man Squid transparent laufen läßt. Funktioniert aber nur, wenn die Kiste gleichzeitig das Standardgateway ist.

Den Port 443 kann ich nicht „umbiegen“ das erlaubt das https Protokoll nicht. Das wäre ja dann ein man in the middle attack, oder nicht?.

Habs aber geschaft https Verbindung herzustellen ohne squid.
In der pf.conf gab es eine Zeile die ich einkommentieren musste:
nat on $ext_if from !($ext_if) -> ($ext_if:0)

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Den Port 443 kann ich nicht „umbiegen“ das erlaubt das https
Protokoll nicht. Das wäre ja dann ein man in the middle
attack, oder nicht?.

Nicht, wenn der Proxy die Vernindung nicht entschlüsselt.

Sebastian