2.5.1. Web-Proxy-Server

Ein Web-Proxy-Server ist ein Programm, das im Namen von allen Maschinen in Ihrem Intranet Anfragen für Internet-Webseiten macht. Der Web-Proxy-Server speichert alle empfangenen Seiten zwischen, so dass, wenn 3 Maschinen die selbe Webseite anfragen, nur 1 Antwort vom Internet her übertragen werden muss. Falls Ihre Organisation eine Anzahl gemeinsam genutzter Webseiten hat, können hiermit Internet-Zugriffe eingespart werden.

Normalerweise müssen Sie alle in Ihrem Netzwerk benutzten Webbrowser für den Zugriff über den Web-Proxy-Server konfigurieren. Sie sollten den Namen/die Adresse des Proxys gleich der des IPCop setzen und den Port wie den in der Web-Proxy-Port-Box, standardmässig 8080. Diese Konfigurationsart erlaubt es Webbrowsern aber, auch am Proxy vorbei zu surfen. Es ist auch möglich, den Proxy im Transparent-Modus zu betreiben. In diesem Fall benötigen die Webbrowser keine spezielle Konfiguration und die Firewall leitet allen Traffic zu Port 80, dem Standard HTTP-Port, zum Web-Proxy-Server um.

2.5.1.1. Web-Proxy

Die erste Zeile in der Konfiguration-Box zeigt den aktuellen Status an.

Abbildung 2.23. Web-Proxy - Allgemeine Einstellungen, Vorgelagerter Web-Proxy & Protokolleinstellungen

HTTP Proxy Web Page


2.5.1.2. Allgemeine Einstellungen

Sie können wählen, auf welchen Netzen (GRÜN (Privat) und/oder BLAU (Wireless), falls eingebaut) der Proxy Anfragen beantworten soll, auch der Transparent-Modus kann hier aktiviert werden.

Aktiviert auf...  Haken Sie die passende Checkbox an, um dem Web-Proxy-Server zu ermöglichen, auf Anfragen auf der ausgewählten Schnittstelle (GRÜN oder BLAU) zu lauschen. Wenn der Web-Proxy-Server deaktiviert ist, werden alle Clientanfragen direkt zur Zieladresse geschickt, ohne den Web-Proxy zu kontaktieren.

Transparent auf...  Wenn transparenter Modus aktiviert wird, werden alle Anfragen auf dem Zielport 80 zum Web-Proxy-Server geschickt, ohne Notwendigkeit einer weiteren Konfiguration der Clients.

Web-Proxy-Port Das ist der Port, auf dem der Web-Proxy-Server auf Clientanfragen lauschen wird. Der Standard ist 8080. In der transparenten Konfiguration werden alle Clientanfragen auf dem Zielport 80 zu diesem Port automatisch umadressiert.

Sichtbarer Hostname - optional.  Wenn Sie einen anderen Hostnamen in Web-Proxy-Server-Fehlermeldungen der Clients oder für den Upstream-Proxy-Server anzeigen lassen wollen, dann geben Sie es hier an. Wenn Sie dieses Feld leer lassen wird der echte Hostname Ihres IPCop verwendet.

E-Mail-Adresse des Cache-Administrators - optional.  Sie können eine E-Mail-Adresse angeben, die in Web-Proxy-Server-Fehlermeldungen der Clients erscheint. Wenn Sie dieses Feld leer lassen wird Webmaster stattdessen verwendet.

Sprache der Fehlermeldungen Sie können die Sprache auswählen, in der irgendwelche Web-Proxy-Server-Fehlermeldungen den Clients angezeigt werden.

Design der Fehlermeldungen Sie können den Designstil auswählen, in dem Web-Proxy-Server-Fehlermeldungen den Clients angezeigt werden. Wählen können Sie zwischen IPCop und Standard.

The IPCop design includes a nice graphic banner, while the Standard design is the usual one shipped with Squid.

Abbildung 2.24. Design der Web-Proxy-Server-Fehlermeldung. IPCop links, Standard rechts.

Error messages designs


Anmerkung

Wenn Sie einen sichtbaren Hostname definieren (siehe oben), wird das Standarddesign immer verwendet.

Unterdrücke Versionsinformation Haken Sie diese Checkbox an, um die Anzeige der Version des Squid-Caches in den Web-Proxy-Server-Fehlermeldungen der Clients zu verhindern.

Squid-Cache-Version Dies zeigt die installierte Squid-Cache-Version an.

2.5.1.3. Vorgelagerter Web-Proxy

Falls Ihr ISP verlangt, seinen Cache für Webzugriffe zu benutzen, dann sollten Sie den Hostnamen und Port im Vorgelagerter Web-Proxy (hostname:port) Feld angeben. Falls Benutzername und Passwort erforderlich sind, geben Sie diese in die Felder Web-Proxy-Benutzername und Web-Proxy-Passwort ein.

Web-Proxy-Adressweiterleitung Dies aktiviert das Header-Feld "HTTP VIA". Wenn aktiviert, wird diese Information zum HTTP-Header hinzugefügt:

1.0 ipcop.localdomain:8080 (Squid/2.7.STABLE7)

Anmerkung

Wenn der letzte Web-Proxy in der Kette dieses Feld nicht abzieht, wird es dem Zielhost geschickt!

Dieses Feld wird standardmäßig unterdrückt.

Client IP Addressweiterleitung Dies ermöglicht den HTTP X-FORWARDED-FOR im Header. Wenn aktiviert, wird die interne Client-IP-Adresse zum HTTP Header hinzugefügt:

192.168.1.30

Das kann nützlich für quell(en)basierte ACLs oder das Einloggen an Remote-Web-Proxy-Server sein.

Anmerkung

Wenn der letzte Web-Proxy in der Kette dieses Feld nicht abzieht, wird es dem Zielhost geschickt!

Anstatt unbekannt, mitzusenden, wird dieses Feld standardmäßig völlig unterdrückt.

Benutzernamenübermittlung Wenn irgendein Typ der Authentifizierung aktiviert wird, aktiviert dies die übermittlung des Benutzernamens.

Das kann nützlich für quell(en)basierte ACLs oder das Einloggen an Remote-Web-Proxy-Server sein.

Anmerkung

Das ist nur für ACL oder Protokollierungszwecke und funktioniert nicht, wenn Upstream-Web-Proxy eine echte Anmeldung erfordert.

Diese übermittlung wird auf den Benutzernamen beschränkt. Das Kennwort wird nicht übermittelt.

Keine verbindungsorientiere Authentifizierungsübermittlung Dies deaktiviert die Übermittlung von Microsofts verbindungsorientierter Authentifizierung (NTLM und Kerberos).

2.5.1.4. Protokolleinstellungen

Protokoll aktiviert Falls Sie den Proxy aktivieren, können Sie auch die Webzugriffe loggen durch Ankreuzen von Protokoll aktiviert.

Die Zugriffe über den Proxy können Sie nun auf der Seite Web-Proxy-Protokoll nachsehen.

Protokolliere Query-Terms Der Teil der URL-ADRESSE, der die dynamischen Abfragen enthält, wird standardmäßig vor der Protokollierung abgezogen. Die Aktivierung der Protokollierung der Query-Terms ermöglicht es, dass die gesamte URL-ADRESSE protokolliert wird.

Protokolliere Useragents Die Aktivierung von Protokolliere Useragents schreibt den Useragent in die Protokolldatei /var/log/squid/user_agent.log Diese Option der Protokollierung sollte nur für die Fehlersuche aktiviert werden, die Ergebnisse werden nicht im Web-GUI angezeigt.

2.5.1.5. Cache-Verwaltung

Sie können hier in der Cache-Verwaltung wählen, wieviel Festplattenplatz für das Zwischenspeichern der Webseiten benutzt wird. Sie können auch die Grösse des kleinsten Objekts angeben, das zwischengespeichert wird, normalerweise 0KB, und auch das Größte (Standardwert 4096KB).

Aus Privatsphäre-Schutzgründen werden keine Seiten zwischengespeichert, die über https empfangen werden oder andere Seiten, deren URL einen Benutzernamen und Passwort enthält.

Abbildung 2.25. Web-Proxy - Cache-Verwaltung

HTTP Web Proxy Page


Warnung

Caching kann viel Platz auf der Festplatte beanspruchen. Wenn Sie einen großen Cache verwenden, wird die in der IPCop-Dokumentation angegebene minimale Festplattengröße nicht ausreichen.

Je größer der gewählte Cache ist, um so größer ist der vom Web-Proxy-Server beanspruchte Speicher für dessen Verwaltung. Wenn Sie IPCop auf einer Hardware mit wenig Speicher laufen lassen, wählen Sie keinen großen Cache.

2.5.1.6. Ziel-Ports

Hier sind die zulässigen Ziel-Ports für Standard HTTP- und SSL-verschlüsselte HTTPS-Anfragen aufgeführt.

HTTP Web Proxy Page

Die Ports können entweder als einzelner Port oder auch als Portbereich angegeben werden.

Vorgabe Standard-Ports

80 # http
21 # ftp
443 # https
1025-65535 # unregistered ports
800 # Squids port (for icons)

Vorgabe SSL-Ports

443 # https
8443 # alternative https

2.5.1.7. Netzwerkbasierte Zugriffskontrolle

Dies definiert die Steuerung des Zugriffs auf den Proxy-Server, basierend auf den Netzwerkadressen der Clients.

HTTP Web Proxy Page

Erlaubte Subnetze (eins pro Zeile) Alle aufgelisteten Subnetze sind berechtigt, auf den Proxy-Server zuzugreifen. Als Voreinstellung werden hier die Subnetze für GREEN und BLUE (falls vorhanden) aufgelistet.

Sie können andere Subnetze, wie Subnetze hinter GREEN in größeren Umgebungen, zu dieser Liste hinzufügen. Alle hier nicht aufgelisteten Subnetze werden für den Webzugriff gesperrt.

Deaktiviere internen Web-Proxy Klicken Sie diese Box, um den internen Web-Proxy zu deaktivieren.

Deaktiviere internen Web-Proxy nach GRÜN aus anderen Subnetzen Klicken Sie diese Box, um den internen Web-Proxy-Zugriff nach GRÜN aus anderen Subnetzen zu deaktivieren.

Deaktiviere internen Web-Proxy von BLAU in andere Subnetze Klicken Sie diese Box, um den internen Web-Proxy-Zugriff von BLAU in anderen Subnetzen zu deaktivieren.

Uneingeschränkte IP-Adressen (eine pro Zeile) (optional).  Alle Clients mit den hier aufgelisteten IP-Adressen setzen sich über folgende Einschränkungen hinweg:

  • Zeitbeschränkungen

  • Größenbeschränkungen für Downloads

  • Downloaddrosselung

  • Browser-Prüfung

  • MIME-Type Filter

  • Authentifizierung (wird als Voreinstellung für diese Adressen gefordert, kann aber deaktiviert werden)

  • Gleichzeitige Anmeldungen pro Benutzer (nur verfügbar in Verbindung mit Authentifizierung)

Uneingeschränkte MAC-Adressen (eine pro Zeile) (optional).  Alle Clients mit den hier aufgelisteten MAC-Adressen setzen sich über folgende Einschränkungen hinweg:

  • Zeitbeschränkungen

  • Größenbeschränkungen für Downloads

  • Downloaddrosselung

  • Browser-Prüfung

  • MIME-Type Filter

  • Authentifizierung (wird als Voreinstellung für diese Adressen gefordert, kann aber deaktiviert werden)

  • Gleichzeitige Anmeldungen pro Benutzer (nur verfügbar in Verbindung mit Authentifizierung)

Die Verwendung von MAC-Adressen anstelle von IP-Adressen kann nützlich sein, wenn der DHCP-Dienst ohne die Definition von statischen Zuweisungen aktiviert wurde.

MAC-Adressen können in einer dieser Schreibweisen angegeben werden:

00-00-00-00-00-00
00:00:00:00:00:00

Anmerkung

Der Proxy-Server kann nur MAC-Adressen von Clients erkennen, die direkt mit den Schnittstellen GREEN, BLUE oder ORANGE verbunden sind.

Gesperrte IP-Adressen (eine pro Zeile) (optional).  Alle Anfragen von Clients (IP-Adresse oder Subnetz) in dieser Liste werden geblockt.

Gesperrte MAC-Adressen (eine pro Zeile) (optional).  Alle Anfragen von Clients in dieser Liste werden geblockt.

2.5.1.8. Classroom extensions

The ClassRoom Extensions (CRE) to the proxy server give you the ability to delegate administrative tasks to non-administrative users through a separate Web Access Management page.

See the Classroom extensions section for further information.

2.5.1.9. Zeitbeschränkungen

Dieser Abschnitt definiert, wann der Web-Proxy-Server aktiv ist. Die Standard-Einstellung erlaubt den Zugriff 24 Stunden an 7 Tagen in der Woche.

Die Zugriffsoption allow gestattet den Webzugriff und die Option deny blockiert den Webzugriff zu den ausgewählten Zeiten. Die Auswahl allow oder deny hängt von den Zeitenregeln ab, die Sie anwenden wollen.

Zeitbeschränkungen werden folgende Clients nicht betreffen:

  • uneingeschränkte IP-Adressen

  • uneingeschränkte MAC-Adressen

2.5.1.10. Transferbeschränkungen

Der Web-Proxy dient auch der Kontrolle, wie Ihre Benutzer auf das Web zugreifen. Eine über die Web-GUI ermöglichte Kontrolle ist die Größenbeschränkung der Up- und Downloads in das und aus dem Web. Sie können das verwenden, um damit das Herunterladen von großen Dateien Ihrer Benutzer und damit auch das Verlangsamen des Internet-Zugriffs zu verhindern. Setzen Sie Max Größe von Downloads (KB) und Max Größe von Uploads (KB) auf 0 (Voreinstellung), um alle Beschränkungen aufzuheben.

2.5.1.11. Downloaddrosselung

Das Downloadbandbreite kann unbegrenzt, oder pro Schnittstelle, und/oder pro Host beschränkt oder auf den Typ des Inhalts basiert sein.

Die Drosselung hat keine Auswirkung auf folgende Clients:

  • uneingeschränkte IP-Adressen

  • uneingeschränkte MAC-Adressen

Bandbreitenbegrenzungen können pro Schnittstelle als eine gesamte Grenze, und pro Host definiert werden. Die verwendete Bandbreite für alle Hosts wird durch die gesamte Begrenzung festgelegt.

Standardmäßig betrifft die Bandbreitenbegrenzung den gesamten Datenverkehr, aber die Drosselung kann sich auch nach dem Typ des Dateninhalts richten. Dies deaktiviert jedoch die Drosselung des anderen Datenverkehrs.

Das inhaltsbasierte Drosseln kann angewandt werden auf:

  • Binärdateien: bz2, bin, dmg, exe, sea, tar, tgz, zip etc.

  • CD-Images: ccd, cdi, img, iso, raw, tib etc.

  • Multimedia-Dateien: aiff, avi, divx, mov, mp3, mp4, mpeg, qt etc.

Abbildung 2.26. Web-Proxy - Zeitbeschränkungen, Transferbeschränkungen & Downloaddrosselung

HTTP Web Proxy Page


2.5.1.12. MIME-Typ-Filter

Der MIME-Typ-Filter kann konfiguriert werden, um Inhalte abhängig vom MIME-Typ zu blockieren.

Aktiviert Wenn aktiviert, überprüft der Filter alle eingehenden Header auf ihren MIME-Typ.

Sperre diese MIME-Typen (einer pro Zeile) (optional).  Wenn der angegebene Typ MIME zum Blockieren eingetragen ist, wird der Zugriff dazu verweigert. Auf diese Weise können Sie Inhalte blocken, egal welcher Typ der Dateinamen-Erweiterung verwendet wird.

Fügen Sie zum Beispiel diesen Typ MIME auf einer Zeile hinzu, wenn Sie den Download von Worddateien blockieren wollen:

application/msword

Oder fügen Sie diese Typen MIME, jeden Typ auf einer getrennten Zeile hinzu, wenn Sie den Download von MPEG und QuickTime Videodateien blockieren wollen:

video/mpeg
video/quicktime

Diese Ziele nicht filtern (eins pro Zeile) (optional).  Verwenden Sie diese Liste, um Typ MIME von der Filterung auszunehmen. Das sollte eine Liste sein von Bereichen oder Unterbereichen, Hostnamen, IP-Adressen oder URL-ADRESSEN sein, jeder Eintrag auf einer Zeile.

Einige Beispiele:

*.stuckfast.net
www.stuckfast.net
123.45.67.89
www.stuckfast.net/downloads

2.5.1.13. Web-Browser

Aktiviere Web-Browserprüfung Klicken Sie diese Box, falls Sie die Web-Browserprüfung einschalten möchten.

Erlaubte Clients für den Webzugriff Klicken Sie die entsprechenden Box, um die ausgewählten Clients zuzulassen.

Abbildung 2.27. Web-Proxy - MIME-Typ-Filter & Web-Browser

HTTP Web Proxy Page


2.5.1.14. Privatsphäre

Gefälschter Useragent für externe Web-Sites (optional).  Inhalt muss noch geschrieben werden...

Gefälschter Referrer für externe Web-Sites (optional).  Inhalt muss noch geschrieben werden...

2.5.1.15. Authentifizierungsmethode

Kein (default).  Inhalt muss noch geschrieben werden...

Lokal Inhalt muss noch geschrieben werden...

identd Inhalt muss noch geschrieben werden...

LDAP Inhalt muss noch geschrieben werden...

Windows Inhalt muss noch geschrieben werden...

RADIUS Inhalt muss noch geschrieben werden...

2.5.1.16. Zwischenspeicher löschen/Speichern

Zwischenspeicher löschen Sie können jederzeit alle zwischengespeicherten Seiten aus dem Web-Proxy-Cache durch Anklicken von Zwischenspeicher löschen entfernen.

Speichern Alle Änderungen müssen Sie durch Drücken des Speichern-Buttons abspeichern.

Abbildung 2.28. Web-Proxy - Privatsphäre & Authentifizierungsmethode

HTTP Web Proxy Page