Firewall und IMAP / Onlinebanking

german

#1

Hallo,
ich weiß nicht, ob das besser hier reinpasst oder unter “Groupware”, evtl. verschieben.

Ich habe mit UCS 2.1-0 folgendes Problem:
die Clients sollen

  1. Mail selbst beim Provider abholen können
  2. Der Port, der fürs Onlinebanking benötigt wird, soll freigeschaltet sein.

Anscheinend arbeitet Squid als Zwangsproxy, der alles ausser 80 und 443 zumacht (?).
Kann ich den einfach auf nicht transparent schalten, so dass er nur als Beschleuniger arbeitet, oder kollidiert das mit anderen Einstellungen?
Oder ist es geschickter, in IPTABLES die Ports durchzuschalten? Ich habe da keine Erfahrung mit LDAP und stark gescripteten Servern ;-/ und möchte nichts kaputtkonfigurieren.
Die Fehlermeldung des Jameica beim Onlinebanking habe ich beigefügt.


#2

Hallo,

ist die Univention Configuration Registry-Variable “squid/transparentproxy” auf “yes” gesetzt arbeitet Squid als transparenter Proxy wenn das UCS-System als Gateway für die Clients verwendet wird. Dabei werden standardmäßig die Ports 80 und 443 (definiert in “squid/webports”) durch den Proxy geleitet. Näheres dazu finden Sie in der Dokumentation “Squid-Webproxy Integration” unter univention.de/doku_admin.html.

Eine weitere Filterung der Ports wird nur vorgenommen wenn die Univention Firewall aktiviert ist. Eine Dokumentation dazu finden Sie im aktuellen UCS Handbuch, Kapitel: “9.3 Paket lter mit Univention Firewall”.

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo,
was ein transparenter Proxy ist, ist mir schon klar, das Problem ist aber, dass

  1. ich immer und nur mit der expliziten Angabe von Proxy:3128 im Browser (Clientseitig) überhaupt eine Verbindung bekomme, egal ob transparent auf true oder false steht. Wenn der squid transparent wäre, müsste er ja eigentlich 80 und 8080 abfangen, oder?
  2. Die Variable ‘security/packetfilter/disabled’ in der registry überhaupt nicht existiert, obwohl sowohl iptables als auch univention-firewall als installiert angezeigt werden. da auch ‘security/services/DIENST’ nicht existiert, kann ich sie auch nicht probehalber disablen. Wird damit mein Problem langsam klar? oder brauchen Sie noch weitere Infos, wenn ja, welche?
    BTW: Ist das Verhalten eigentlich normal, dass nach dem Setzen eines Werte und neu laden in der config Registry statt dem neu gesetzten Wert immer noch der alte angezeigt wird?

Gruß
Peter Baumgartner


#4

Hm, um das nochmal zu überprüfen, habe ich die Kiste nochmal neu installiert und mich strikt an die Vorgaben (empfohlene…) gehalten, die ja KEINEN Proxy enthält. Also folgendes Setup:

Internet -> Fritzbox (10.x.x.x) -> (10.x.x.2) UCS (192.x.x.x) -> Switch -> div. localnet

Folge: es gibt keine Möglichkeit, aus dem Localnet ins Internet zu kommen. Ich kann zwar sowohl vom internen wie auch vom Transportnetz aus auf den Server und die Management Console zugreifen, aber es scheint keine Route von drinnen nach “draußen” zu geben. Ich habe weder im UDM noch UMC eine Möglichkeit gefunden, um eine solche zu setzen. Frage an die Fachleute:
Gibt es ein Modul ( tool…, script…), das ich noch nicht entdeckt/installiert habe, um eine solche zu setzen? Wenn nicht, wie macht Ihr denn das? Irgendjemand muß das Teil doch schon mal als Gateway aufgesetzt haben?

Etwas ratlos
Peter Baumgartner


#5

Hallo,

da UCS in den meisten Fällen nicht als Router eingesetzt wird, ist das IP-Routing standardmäßig nicht aktiviert. Sie können dies nachholen indem Sie den folgenden Befehl ausführen (bitte beachten Sie das dies nach einem Neustart des Systems wiederholt werden muss):

echo "1" > /proc/sys/net/ipv4/ip_forward

Anschließend sollte sich das UCS System ohne Einschränkungen als Gateway nutzen lassen.

Dies ist vermutlich darauf zurückzuführen dass das IP-Routing nicht aktiviert war. Standardmäßig werden auch nur die sog. “safe-ports” (80, 443 und 21) von Squid akzeptiert. Sie können dies über die Univention Configuration Registry-Variable “squid/webports” konfigurieren.

Ist die Univention Configuration Registry-Variable “security/packetfilter/disabled” nicht gesetzt, ist auch die Firewall nicht aktiv. Wird “univention-firewall” nachträglich installiert, ist dies auch standardmäßig der Fall um zu verhindern das benötigte Dienste nach der Installation versehentlich geblockt werden. Sie können die Firewall nachträglich mit dem Befehl “univention-system-setup-security” aktivieren.

[quote=“bssmusic”]
BTW: Ist das Verhalten eigentlich normal, dass nach dem Setzen eines Werte und neu laden in der config Registry statt dem neu gesetzten Wert immer noch der alte angezeigt wird?[/quote]
Dies ist nicht das normale Verhalten. Welche Univention Configuration Registry-Variable wurde in diesem Fall gesetzt und wie wurde die Konfiguration neu geladen?

Mit freundlichen Grüßen
Janis Meybohm