dummabua

ich darf leider erst nächstes jahr, weil ich erst 2 Jahre ausgelernt habe... naja, viel spass dir schon mal

Hi, ich habe vor, nebenher (berufstätig) ein Studium zu beginnen und da sagte mir der Studiengang der FH der Private FernFachhochschule Darmstadt zu, vor allem, da ich kein (Fach)Abi habe. Zu allererst (bitte nicht missverstehen ): Mir ist klar, dass das hart werden wird und viel Disziplin nötig ist -> muss man mir nicht sagen Ich möchte hier nur Erfahrungswerte von Leuten, die das selbst an DIESER Fernuni gemacht haben. Wie ist es gelaufen? Wie anstrengend war es? usw... Ich hoffe, jemand hat Erfahrungswerte mit diesem Studium an dieser Fernuni - wäre echt spitze. Danke schonmal cu dummabua

Das meinte ich ja damit: Es ist keine Bestätigung in dem Sinne, weil bei einem self-signed Zertifikat nur du die Echtheit bestätigst. Ich kann zwar ein microsoft.com Zertifikat slbst unterschreiben und somit ist es ein vollwertiges Zertifikat, aber trotzdem nicht "echt" das meinte ich... Aber du hast auch recht, natürlich

... und zur kompletten Korrektheit: Ein Zertifikat ist keine Bestätigung! Ein Zertifikat ist nichts andres als der Verbung eines Public Keys zu einem distinguished name. Ich kann mir auch ein Zertifikat mit www.microsoft.com ausstellen... das ist ein richtiges Zertifikat, es wird mir warscheinlich nur keine seriöse CA unterschreiben.

wenn du EINE FW hast, die DMZ fähig ist, dann hast du ne "Collapsed DMZ". Ein Schritt zur besten Lösung ist, keinen FTP Proxy zu nehmen.Das ist in einem LAN deiner Dimensionnicht notwendig, bzw. der Aufwand rechnet sich ned . Ein keinesfalls böse gemeinter Rat: Überleg dir genau vorher WAS du WOMIT erreichen möchtest. Dann sparst du dir viel Arbeit und das Ergebniss stell am ehesten zufrieden (Erfahrung) cu dummabua

Also du brauchst erstmal einen HTTP Proxy (Squid, am besten mit ner localhost Chain und Privoxy) und dann einen FTP Proxy (z.b. FROX). Dann mus dein Proxy so geconft sein, dass er für den Webserver als Reverse Proxy arbeitet. HTTP und FTP handlen dann Frox und Squid. An der internen FW erlaubst du eben nur Zugriff ins Web über den Proxy: Also: LAN komplett darf nur mit Proxy Port (8800 oder so, je nach konf.) auf den Proxy in der DMZ und sonst nichts. Somit darf das Lan nur in die DMZ. Und somit verhinderst du auch die Umgehung des Proxy. Dann an der vorderen FW darf eben nur der Proxy per 21 - ftp, 80 und 443 ins Internet (und ggf. mit den Socks Ports, die du willst). Weiterhin darf das Internet nur mit 80/443 auf deinen Proxy für Web Access auf deinen Webserver. Nen FTP Reverse Proxy kenn ich nicht ?!?! Muss aber nicht heissen, dasses den nicht gibt . Du kannst also folgendes über den Proxy führen: Aus dem LAN ins Internet: http https ftp socks Aus dem Internet in die DMZ Server: http https PS: Was willst du überhaupt machen

@hades: Ja, gibds schon , aber die müssen dazu den Tunnel terminieren und das is Datenschutzrechtlich immer heikel, weils ne Gradwanderung ist. Was verstehst du unter einem Application Layer Filter? Bzw. was ist der Unterschied zu nem Proxy?

Ein Proxy kann bis in Schicht 7 reinschauen, ja das stimmt, aber nur in HTTP Traffic (Squid etc...).Da kann er URLs filtern - sperren, Aktive Inhalte oder bestimmte Header oder Tags ändern/löschen und Popups blocken (und noch mehr). Protokolle die nicht Proxy fähig sind,musst du entweder drum herum routen oder "Socksen", also in Socks packen. Prüfen, ob dein Client per http einen Virus etc herunterlädt kannst du schon mit einem Proxy, aber eben nicht in https Traffic, weil der Proxy da nur SSL verschlüsselte Daten sieht. Da viele Viren von Emails kommen, die du per Webmail abrufst, welches aber oft https verschlüssel ist hast du da auch keinen Vorteil. Grosser Vorteil ist, dass ein Proxy dein FW Regelwerk überschaubar hält (zumindest in Internet Access Sachen) und du Authentisieren und Autorisieren kannst.

Äh sorry, aber ein Proxy ist nicht dazu da, Emails auf Viren zu prüfen (ausser du redest von Webmail, aber für POP3 etc. gibds andere Produkte; Ausserdem haben Proxies ein Problem mit https-Filterung, wie es bei vielen Web-Mailern zum Einsatz kommt d.h. der Vorteil von Webmailer Virenscanning fällt weg, weil der Proxy nur SSL zu Gesicht bekommt) Wenn er als Reverse Proxy arbeiten soll, dann "muss" er mit in die DMZ rein. Wenn er Web Zugriffe managen soll (da kann man z.B. nach Schadecode filtern) Dann würde ich Ihn auch in die DMZ stellen, ausser du kannst dir einen Proxy im LAN und einen in der DMZ leisten und machst damit ne Forwarding Chain. Das is schon sexy . Kommt eben drauf an, was dieser Proxy machen soll.

Wissen tun wirs schon, aber wir dürfen und wollens nicht sagen... (denke mal ich spreche für alle andren hier ) Wenn man versteht wie ein Proxy arbeitet dann kommt man von selbst drauf bzw. kann sich denken, wies gehen könnte

Antwort: Nein (ein URL hat mit nem Port erstmal nichts zu tun) Und zu deiner anderen Frage: Normalerweise sind Proxies im Netz (LAN) so positioniert, dass nur der Proxy durch die Firewall ins Internet darf. Wenn du nun einen "normalen" externen Proxy verwenden willst, scheiterst du schon an der Firewall bei euch. Zum Thema Proxy Ketten gabs hier einen Thread: http://forum.fachinformatiker.de/showthread.php?t=88376

Das würde zwar funktionieren, aber es bringt dir nichts. Wenn ein http/s Proxy, von denen es ja genug im internet gibt als einzelner Proxy geconft wurde, hast du als Client keine Möglichkeit ihm du sagen, dass er dynamisch eine Proxy Kette bilden soll. Du gehst über den einen Proxy bzw. auf den einen Proxy und der geht dann zum Ziel. Einfluss darauf hat nur der Proxy Admin, indem er dem Proxy sagt, dass er alle Anfragen zu Proxy XY weiterleiten soll. Somit hast du ne echte Proxy Kette. Dein Beispiel ist schon richtig, aber wenn die 2. Instanz auch ein Proxy ist, wirst du keine Seite ausgeliefert bekommen, da du nur einen Proxy mitgeben kannst. Die Methode von onion Routing und TOR lass ich jetzt mal aussen vor, weil dazu ein Netzwerk aus speziellen Onion Routern verwendet wird.

was sagt das log dazu?

was das ganze schon mal alles in ne GUI packt, is "fwbuilder"... vielleicht bringt dich das weiter EDIT: Link http://www.fwbuilder.org/ EDIT2: Wenn man bei google nach "iptables gui" sucht, kommt der fw builder an erster Stelle

"He got shot NINE times!" <- war lustig "He`s got more shots in the face than jenna jameson" <- fand ich noch besser:D