Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

ASA 5510 transparent proxy

[es] :: Enterprise Networking :: ASA 5510 transparent proxy

Strane: 1 2

[ Pregleda: 6442 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

djekovic.dejan
oficir,MO
Podgorica

Član broj: 200593
Poruke: 30
62.4.63.*



Profil

icon ASA 5510 transparent proxy03.12.2009. u 19:26 - pre 174 meseci
Pozdrav svima,

da li neko zna kako mogu da na firewall-u asa 5510 sav saobracaj uputim na squid proxy server ?

jedan nacin je da blokiram sav saobracaj koji dolazi do firewall-a , osim onoga koji dolazi sa proxy-ja, ali u ovom slucaju ipak kod korisnika moram da konfigurisem

browser, a poenta mog problema je sto zelim da ovo postignem bez podesavanja proxy-ja kod krajnjih korisnika !

 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 19:49 - pre 174 meseci
>
Ti pitas za transparent squid proxy, ali nisi formulisao pitanje dovoljno jasno.

Da li hoces da instaliras squid na samom cisco firewall (sto je po
meni van pameti, ali svasta ljudima pada na pamet), ili hoces da
instaliras squid na posebnoj masini? U slucaju prethodnog, nemam
nikakav komentar. U slucaju ovog potonjeg, treba ti squid i masina, OS
po tvom izboru koji ide na masinu, pa onda mozes da postavljas razumna
pitanja.
 
Odgovor na temu

djekovic.dejan
oficir,MO
Podgorica

Član broj: 200593
Poruke: 30
62.4.63.*



Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:00 - pre 174 meseci
evo kakva je situacija kod mene :

na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.

wan interfejs ide na firewall, firewall ide na internet.

sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.

zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.

a sto se tice solucije squid transparent proxy-ja, ceo dan pokusavam, jos uvek nisam uspeo !
 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:20 - pre 174 meseci
>
Citat:
On 12/3/09, djekovic.dejan <[email protected]> wrote:
> evo kakva je situacija kod mene :
>
> na linux masini imam pogidnut dhcp i squid proxy server . na jednom
> interferjsu je lan, na drugom wan.


Ukini dhcp server i svim masinama zadaj staticke ip adrese iz nekog
privatnog opsega. To je i inace preporucivo sa stanovista bezbednosti.
DHCP u lan ima smisla postavljati samo kada je to ad-hoc lan, npr.
neki seminar od tri dana, gde se ucesnici kace svojim lapovima na
mrezu.

Squid masinu obori i postavi da rutira izmedju interfejsa. Ukini
interfejsima ip adrese i postavi ih u bridge mode. Interni interfejs
ide u switch gde ti je prikopcana mreza, a eksterni u switch koji ide
u firewall. Masinama iz mreze zadajes default gateway adresu firewall.
Ostalo bi trebalo da radi bez problema. Imas temu gde je to covek
uradio pre par sedmica na bsdserbiadotorg pa pitaj ako nesto zapne.
 
Odgovor na temu

djekovic.dejan
oficir,MO
Podgorica

Član broj: 200593
Poruke: 30
62.4.63.*



Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:27 - pre 174 meseci
hvala ti na predlogu, ali to nije odgovor koji trazim.

situacija je malo komplikovanija, jer se ne radi o maloj mrezi.

svi korisnici koji su registrovani u mojoj mrezi imaju staticke ip adrese, koje se nalaze u dhcpd.conf. pored toga, svakom vlan-u sam dodelio address pool, u slucaju da se prikljuci neregistrovani korisnik.

sto se tice proxy-ja , ni to necu obarati, jer proxyjem kontrolisem saobracaj u mrezi, blacklistujem sve neprimerene sajtove, pratim posecivanje odredjenih sajtova , delim korisnike u grupe koje imaju odredjeni bandwidth itd.

sve u svemu, jedino sto me zanima je transparent proxy, sa svim ostalim sam zadovoljan.

(u svakom slucaju cu pogledati tvoju referencu)
 
Odgovor na temu

srndach

Član broj: 58095
Poruke: 242
*.com
Via: [es] mailing liste



+2 Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:28 - pre 174 meseci
Kad je tolika buka bila oko konzolnog kabla, kako li ce tek ovo da se zavrsi ... ?!
Ako se zavrsi ...




--0-1661225202-1259872134=:77867
Content-Type: text/html; charset=us-ascii

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman,new york,times,serif;font-size:12pt"><div><br></div><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 10pt;"><font face="Tahoma" size="2"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> djekovic.dejan &lt;[email protected]&gt;<br><b><span style="font-weight: bold;">To:</span></b> [email protected]<br><b><span style="font-weight: bold;">Sent:</span></b> Thu, December 3, 2009 9:00:12 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: ASA 5510 transparent proxy [elitesecurity.mreze.enterprise-networking]<br></font><br>
evo kakva je situacija kod mene :<br><br>na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.<br><br>wan interfejs ide na firewall, firewall ide na internet.<br><br>sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.<br><br>zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.<br><br>a sto se tice solucije squid transparent proxy-ja, ceo dan pokusavam, jos uvek nisam uspeo !<br><br>--<br><span><a target="_blank" href="http://www.elitesecurity.org/p2456421">http://www.elitesecurity.org/p2456421</a></span><br><br><span>Prijave/odjave: <a target="_blank" href="http://www.elitesecurity.org/liste">http://www.elitesecurity.org/liste</a></span><br><br>Ne menjajte sledece dve linije ukoliko odgovarate putem emaila!<br>esauth:383639:331b6536026b5ff8fbcf4d277babb92d<br>Odgovor
pisite *iskljucivo* ispod ove linije:<br><br>Kad je tolika buka bila oko konzolnog kabla, kako li ce tek ovo da se zavrsi ... ?!<br>Ako se zavrsi ...<br></div></div>
<!-- cg3.c901.mail.mud.yahoo.com compressed/chunked Wed Dec 2 10:04:29 PST 2009 -->
</div><br>




--0-1661225202-1259872134=:77867--
 
Odgovor na temu

djekovic.dejan
oficir,MO
Podgorica

Član broj: 200593
Poruke: 30
62.4.63.*



Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:32 - pre 174 meseci
da li imas neki pametnini predlog ?

problem je vrlo jasan, ali je resenje ocigledno veoma tesko.

dakle, transparent proxy ?
 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:32 - pre 174 meseci
>
Citat:
On 12/3/09, djekovic.dejan <[email protected]> wrote:
> hvala ti na predlogu, ali to nije odgovor koji trazim.


Kada malo budes razmislio, shvatices da je upravo to odgovor koji
trazis. Ako ti je dhcp server neophodan, onda ga razdvoj.

Squid i dhcp server ne idu NIKAKO na istu masinu, to je definitivno. A
ako hoces transparent squid, onda dhcp server NE MOZE biti na istoj
masini.
 
Odgovor na temu

djekovic.dejan
oficir,MO
Podgorica

Član broj: 200593
Poruke: 30
62.4.63.*



Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:41 - pre 174 meseci
kada nadjem resenje, javicu vam !
 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy03.12.2009. u 20:56 - pre 174 meseci
>
Citat:

On 12/3/09, djekovic.dejan <[email protected]> wrote:
> kada nadjem resenje, javicu vam !


Nemoj! Nemoj, 'leba ti!

Ako budes uspeo da nadjes nacin da poteras transparent squid proxy na
masini od dva interfejsa (bez treceg) a da na istoj masini vozi i dhcp
server, PATENTIRAJ GA!

Posrami ceo svet, za*ebo Tanenbauma, Gatesa, Torvaldsa i sve ostale
pacere, ukljucujuci i autore squid. PATENTIRAJ I UZMI PARE!

Nama posalji razglednicu sa nekog tropskog ostrva i popisaj nas k'o
poslednje papane, a ja svecano obecavam da cu u tom slucaju da se
skinem go i prosetam centrom grada sa transparentom MOZE TRANSPARENT
PROXY & DHCP NA ISTOJ MASINI SA DVA INTERFEJSA i obezbedicu da me
slikaju novine pre nego sto me uhapse.

/logout
 
Odgovor na temu

srndach

Član broj: 58095
Poruke: 242
212.200.116.*



+2 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 07:19 - pre 174 meseci


ASA ima 3 interfejsa ... i moze da bude DHCP, bez problema ...
Iskoristi, mozda to ... ?

I nemoj da se ljutis, nece ovde niko da razmislja umesto nekog drugog ...
A ti si vec dobrano diskreditovao sebe onim nesretnim konzolnim kablom ...
Stice se utisak da o svemu tome, vrlo malo znas ...
Niko ti nece dati gotovo resenje problema, pogotovo ako se bavis Alhemijom ...

Reci za pocetak sta ti treba ...
Hoces da ogranicis pristup internetu ?
Koristi ACL ...
Organizuj ASA, vrlo je mocna i moze svasta ...
Ima tri interfejsa ...

Ako hoces neko da ti resi ceo problem, od A do S, onda se spremi da (dobro) platis konsultantske usluge ...
 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 08:14 - pre 174 meseci
>
Ako proxy masina na bilo koji nacin ima IP adresu, na bilo kom
stvarnom ili pseudo interfejsu, onda se ona nikako ne moze shvatiti
kao transparentni proxy. To je bila cela poenta mog sinocnjeg ispada.
 
Odgovor na temu

bestragamuglava

Član broj: 184188
Poruke: 128
*.com
Via: [es] mailing liste



+1 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 08:45 - pre 174 meseci
>
Citat:
On 12/3/09, bestragamuglava <[email protected]> wrote:
>>
>>
>> On 12/3/09, djekovic.dejan <[email protected]> wrote:
>> > kada nadjem resenje, javicu vam !
>
> Nemoj! Nemoj, 'leba ti!
>
> Ako budes uspeo da nadjes nacin da poteras transparent squid proxy na
> masini od dva interfejsa (bez treceg) a da na istoj masini vozi i dhcp
> server, PATENTIRAJ GA!


Samo da jos i ovo preciziram, da ne bih setao go bez veze:

Moze da se napravi proxy + dhcp server na masini sa dva interfejsa i
da fingira transparentni proxy ako dhcp servira leases na alias ip
adresi jednog od interfejsa. Ali to onda nije transparentni proxy.
 
Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.



+28 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 11:52 - pre 174 meseci
Citat:

na linux masini imam pogidnut dhcp i squid proxy server . na jednom interferjsu je lan, na drugom wan.
wan interfejs ide na firewall, firewall ide na internet.
sve radi kako treba, proxy radi, ali sada zelim da taj proxy bude transparentan, tako da novim korisnicima ne moram da podesavam browsere.
zanima me da li se na firewallu moze podesiti prosledjivanje saobracaja na proxy server, i ako moze, kako.


Pokusavam da shvatim kako je sve povezano. Iz ovog gore sticem utisak da je sve povezado "redno". Dakle Lokalna mreza -> Proxy -> ASA -> Internet.
LAN korisnicima je def.gw upravo taj Proxy/DHCP server? Ne znam da li postoji na Linux-u, ali recimo na MikroTik-u moze sav saobracaj koji ide na TCP 80 da se "zaokrene" interno na proxy servis i dalje da se bolokiraju odredjene web adrese. Na taj nacin, korisnik i ne zna da je otisao na proxy (ja ovo smatram za Transparent proxy). Ako je ovakva postavka, ne vidim zasto bi bio problem da se na istoj masini nalazi i DHCP server. Ako je drugacija postavka, izvinjavam se sto potrosih malo prostora na forumu :)
Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.
 
Odgovor na temu

Dusan Marjanovic
Consultant, SAS
Beograd

Član broj: 59
Poruke: 1290
..6.78.clients.your-server.de.

Jabber: dusanm@gmail.com
ICQ: 84621598
Sajt: marjanovic.net


+6 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 12:54 - pre 174 meseci
Jel tebi linux mašina inače gateway za klijente s obzirom da i na njoj imaš 2 interfejsa ili je to ASA?

U oba slučaja ono što je potrebno da uradiš je da kod NAT-a staviš pravilo da se klijentski web zahtevi proslede ka squid-u, s tim što ako je linux mašina gateway, onda praktično ceo posao završavaš na njoj.

Ako je, dakle, limux mašina gateway potebno je sledeće pravilo ako koristiš iptables i ako je port na kojem čeka squid 3128 (default):
Code:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


Takođe, ako nisi već potrebno je podesiti sledeće u squid konfiguraciji:

Code:
    
* httpd_accel_host virtual
* httpd_accel_port 80
* httpd_accel_with_proxy on
* httpd_accel_uses_host_header on


Ako je ipak ASA gateway, u principu hvataj zahteve na port 80 i preusmeravaj ih na squid, s tim što ćeš morati da vodiš računa i da odgovore vratiš na isti način :)
VMware VCP/Microsoft MCSE 2003/HP ASE
 
Odgovor na temu

zivanicd
Dejan Zivanic
KLADOVONET ISP
Kladovo

Član broj: 137218
Poruke: 1129
*.cybercity.kladovonet.com.

Sajt: www.kladovo.net


+139 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 15:40 - pre 174 meseci
Kao sto je Dusan rekao.... ako ti je ASA gateway postavi access liste da preusmeravas sav saobracaj na squid.
Squid ne mora da ti bude u DMZu, mozes da ga postavis i u LAN mrezu (recimo IP 192.168.xx.200)

Squid ce ti izlaziti na net isto kao i ostali racunari u mrezi.

Na ASA postavi access liste da samo squid moze da izlazi na net prema portu 80 a ostali da se redirektuju u squid.

Proveri koja ti je verzija software-a. Na nekoj ne mozes da radis redirekcije na remote IP.

Razmisli o najjednostavnijem resenju: postavi svima rucno da koriste squid u browserima.

Mozes da pogledas malo i dokumentaciju na squid-cache sajtu. Ima sigurno podrska za trasnparent-squid sa ciscom :)

eh da.. i ne zaboravi da kada kompajliras squid uradish with-filedescriptors=30000 i enable-linux-netfilter.

pozzzzz

 
Odgovor na temu

igor.vitorac

Član broj: 144858
Poruke: 483



+13 Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 16:24 - pre 174 meseci
http://wiki.squid-cache.org/SquidFaq/InterceptionProxy
 
Odgovor na temu

helium
Zemun

Član broj: 29007
Poruke: 40
*.dynamic.sbb.rs.

ICQ: 60182816


Profil

icon Re: ASA 5510 transparent proxy04.12.2009. u 22:10 - pre 174 meseci

Prvo moram da pitam cemu transparent proxy? Internet te toliko postao jeftin da ti to resenje realno ne treba!

Nego predlozio bih ti dva sledeca scenarija nadam se da se uklapa u tvoju pricu:

1. RACUNAR---PROXY---ASA---INTERNET

2. RACUNAR---ASA---INTERNET
|
|
|
PROXY (WCCP)

1. PROXY server je u ulozi bridga ili (bump in the wire), tako da je PROXY server u toj ulozi potpuno transparentan. (Ukoliko koristis tajne adrese odlicno, ukoliko nekada budes pozeleo da dodelis javni opseg u tom slucaju uputicu te kako da namestis da racunari zadrze javne adrese.)

2. Postoji naravno druga opcija tako da iskoristis prednosti ASE, sto kazu da ne trosi struju. Konfigurises squid sa podrskom za WCCP (Web Cache Communication Protocol), tako da cisco radi za tebe :D Cisco je lepo razvija taj protokol plus squid ga potpuno podrzava.

Ukoliko koristis DHCP server u nekoj ozbiljnijoj konfiguraciji izolovao bih na jedan racunar i stavio na asu u DMZ. I moj savet je da svim racunarima dodeljujes adrese preko dhcp-a. Razlog je u tome sto svakom promenom konfiguracije napravio si sebi posao.




 
Odgovor na temu

Dusan Marjanovic
Consultant, SAS
Beograd

Član broj: 59
Poruke: 1290
93.86.137.*

Jabber: dusanm@gmail.com
ICQ: 84621598
Sajt: marjanovic.net


+6 Profil

icon Re: ASA 5510 transparent proxy06.12.2009. u 13:02 - pre 174 meseci
Ušteda bandwidtha nije jedina svrha proxija...
VMware VCP/Microsoft MCSE 2003/HP ASE
 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: ASA 5510 transparent proxy17.12.2009. u 20:30 - pre 173 meseci
Mozda se kasno ukljucujem u raspravu ali mislim da je covjek pitao kako da kontrolise kojim sajtovima ce korisnici mreze da pristupaju ali samo pomocu pomocu ASA Firewall-a. To je tzv URL filtering.

Sam ASA (niti bilo koja serija Cisco firewall-a)m ne moze samostalno da vrsi URL filtriranje, ali Cisco za tu svrhu preporucuje koriscenje dodatnog servera, odnosno aplikacije Websense, koja pored funkcije URL filtriranja ima i jos neke dodatne funkcije, prije svega file extension filtriranje.

Za detaljnije moze se pogldeati na http://www.ssimail.com/Websense/Cisco%20PIX.pdf


Samo rjesenje je komercijalno (mislim, ali nisam 100% siguran) i ne zahtjeva koriscenje proxy servera a samim tim nema potrebe da se korisnicima podesava ni web browser. Jedino nisam siguran da li postoji verzija Websense-a za Linux.
Pozdrav!
Gogo82
 
Odgovor na temu

[es] :: Enterprise Networking :: ASA 5510 transparent proxy

Strane: 1 2

[ Pregleda: 6442 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.