UCS@school und transparenter Proxy

Simorgh33 · February 13, 2018, 12:18pm

Hallo,
Habe mal wieder eine Frage zu dem Proxy.
Wenn ich den Proxy normal nutze funktioniert alles reibungslos
Dennoch besitzen wir an unsere Schule eine Watchguard-Firewall mit der wir nochmal separat und genauer filtern wollen
Aber wenn ich den Proxy normal nutze kommt nur eine IP an der Firewall an die vom Proxy, selbstverständlich.
Jetzt habe ich 2 Theorien und hoffe das mir jemand weiter helfen kann
wenn ich den Proxy normal nutze wird dennoch User Informationen weiter gegeben ??( User-Group etc)
2. Wenn ich ihn transparent mache komme ich nirgends mehr raus dann wir mir den Zugriff verweigert und ich weiß leider nicht wieso

ich hoffe es gibt jemand der mir weiter helfen kann.
Mit freundlichen Grüßen
Marc

knebb · February 15, 2018, 8:09am

Hallo,

soweit ich Watchguard verstanden habe, basiert deren Authentifizierung immer auf einer Zuordnung User-> IP.

D.h. sobald der User über einen Proxy (egal ob transparent oder regulär) kommt, haben mehrere Benutzer die gleicheIP und Watchguard kann das nicht auseinander halten.

Das funktioniert also so nicht. Entweder auf Watchguardfilterung verzichten oder auf den Proxy.

PS: Die Watchguard hat doch auch einen eigenen Proxy, oder? Dann einfach den aktivieren und den von UCS deaktivieren…

/KNEBB

Simorgh33 · February 15, 2018, 8:36am

Hallo,
also es gibt keine Funktion/Lösung dem Proxy zu sagen das er die Client IP weiter geben soll.
Das er wirklich nur sagt PC du darfst bzw du darfst nicht?
Im Internet steht :
Masquerading (substitute the local source ip address to the public address)
iptables -A POSTROUTING -t nat -j MASQUERADE

Diese Regel ist aber nicht mal vorhanden,dennoch verschleiert er die Client IP.
Zumal ich nicht NATe da das Gateway im selben Netz ist.

Wir bräuchten beides der Proxy soll nicht filtern nur erlauben/verbieten und Watchguard filtern.

/Simorgh33

knebb · February 15, 2018, 9:05am

Hi,

soweit ich weiß, gibt das Proxy-Protokoll schon her “ich frage für…”. Aber nur auf Ebene des HTTP-Protokolls. Watchguard filtert ja bereits auf IP-Ebene und erkennt deshalb diese Info nicht.

Und das Masquerade hat damit nicht wirklich was zu tun, das maskiert alle IP-Adressen auf eine Einzige. Aber wenn sowieso alles von der IP des Proxies kommt, braucht man auch nicht maskieren- ist ja eh alles eine IP.

Wenn es ums filtern geht, kannst Du vielleicht die User-Authentification bei Watchguard ausschalten?

/KNEBB

Simorgh33 · February 15, 2018, 9:33am

Die Watchguard filtert einmal per IP ,ja aber sie kann auch nach LDAP-Gruppen filtern. Und das wollen wir gerne nutzen.
Wir wollen gerne das Prinzip: Jeder kann sich überall anmelden. Deshalb sind die IP-Adressen uns egal aber wenn der Proxy grundsätzlich jeden Traffic managed wird leider auch nur seine Gruppe weitergegeben…
Und deshalb suchen wir eine Funktion, indem die Gruppen von den Usern weitergegeben wird.
/Simorgh33

knebb · February 15, 2018, 9:47am

Wie gesagt, ich kenne Watchguard nicht genau. Aber die Online-Dok sagt aus, dass sie zwar nach Benutzern/ Gruppen authentifizieren, dass aber immer intern auf IP umgesetzt wird (nach dem Motto, ein Computer kann zeitgleich nur ein Benutzer haben). Das gibt aber halt Probleme mit Proxies, Terminalservern oder Masquerading.

Squid als Proxy kann auch Benutzerauthentifizierung! Muss aber jetzt passen, ob und wie das in UCS@School umgesetzt ist.

Wenn ihr also die Benutzerauthentifizierung auf den Proxy legt, geht das auch irgendwie.

Aber ich befürchte, dass beides in dieser Form nicht wie gewünscht geht.Warum aktiviert ihr nicht den Proxy an der Watchguard, dann ist das kein Problem?

/KNEBB