---

FUT: dk.edb.system.unix

Hejsa.

Vi har i AlsLug et lille problem med vores netforbindelse til vore
hyggemøde.

Sønderborg Bibliotek, hvor vi holder til, vil indtil videre kun gi os en
netforbindelse via en http/https/ftp proxy.

Men for at gøre det nemmere for os alle, vil jeg sætte vores/min
openwrt-basserede router op så al trafik forwardes til proxyen.

Idden er at de enkelte deltagere ikke skal til at sætte deres systemer op
til at bruge proxyen, for at komme ud.
Forsøger man at bruge en browser, sendes forbindelsen til bibliotekets
proxy, uden at der skal gøres noget over hovedet.

Jeg forventer det kan klares i iptables, men er der en der har en pointer?
iptables er ikke lige min stærke side

På forhånd tak.

--
MVH
Henning Wangerin / oz1lln

---

Den Thu, 15 Feb 2007 21:40:20 +0100 skrev Henning Wangerin:
> FUT: dk.edb.system.unix
>
> Hejsa.
>
> Vi har i AlsLug et lille problem med vores netforbindelse til vore
> hyggemøde.
>
> Sønderborg Bibliotek, hvor vi holder til, vil indtil videre kun gi os en
> netforbindelse via en http/https/ftp proxy.
>
> Men for at gøre det nemmere for os alle, vil jeg sætte vores/min
> openwrt-basserede router op så al trafik forwardes til proxyen.
>
> Idden er at de enkelte deltagere ikke skal til at sætte deres systemer op
> til at bruge proxyen, for at komme ud.
> Forsøger man at bruge en browser, sendes forbindelsen til bibliotekets
> proxy, uden at der skal gøres noget over hovedet.
>
> Jeg forventer det kan klares i iptables, men er der en der har en pointer?
> iptables er ikke lige min stærke side

I modsætning til en NAT-router, så sender en proxy ikke bare trafikken
videre af sig selv[1]. Browseren skal specifikt bede den om det i sin
GET-request. Derfor kan det du ønsker ikke direkte lade sig gøre.

Der er så nogle workarounds I kan overveje. En mulighed er en
tunnel igennem proxy'en, som dog kræver en maskine på den anden side
af proxy'en. En anden mulighed er selv at sætte en linux-maskine op
som proxy (!), nærmere betegnet en transparent proxy. Det burde så
være muligt at få den til at oversætte GET-requests til noget en
http-proxy kan forstå.

For andet end http skal i over i noget SOCKS, hvis ellers bibliotekets
server supporterer dette (at du nævner FTP antyder at den gør). I så
fald skulle det vel ikke være umuligt at finde et program der kan
lave en form for IP-tunnel over SOCKS. Jeg har dog aldrig hørt om et
sådant program.

Mvh
Kent

[1] Bort set fra en transparent proxy, men hvis det var sådan en, ville
I slet ikke opdage problemet.
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Thu, 15 Feb 2007 21:10:54 +0000, Kent Friis wrote:

> I modsætning til en NAT-router, så sender en proxy ikke bare trafikken
> videre af sig selv[1]. Browseren skal specifikt bede den om det i sin
> GET-request. Derfor kan det du ønsker ikke direkte lade sig gøre.

Dvs at forespørgsnel fra breowseren er forskellig afhængig af om der køres
med eller uden proxy?

> Der er så nogle workarounds I kan overveje. En mulighed er en tunnel
> igennem proxy'en, som dog kræver en maskine på den anden side af
> proxy'en.

Det er det mindste problem

> En anden mulighed er selv at sætte en linux-maskine op som
> proxy (!), nærmere betegnet en transparent proxy. Det burde så være
> muligt at få den til at oversætte GET-requests til noget en http-proxy
> kan forstå.

Det var noget i den stil jeg havde tænkt mig, så vores transparente proxy
sender requests til biblioteksets proxy, så vi kan komme ud.

> For andet end http skal i over i noget SOCKS, hvis ellers bibliotekets
> server supporterer dette (at du nævner FTP antyder at den gør).

ftp kan du jo også gøre vi proxy - der er i det mindste en opsætning i
firefox m.fl. til en ftp-proxy

> I så
> fald skulle det vel ikke være umuligt at finde et program der kan lave
> en form for IP-tunnel over SOCKS. Jeg har dog aldrig hørt om et sådant
> program.

Vi kan ikke komme ud via andet en den skide proxy.

Jeg har overvejet at lave en openvpn tunnel ud til mit eget netværk, så vi
får fuld adgang, men den del virker umiddelbart endnu mere langhåret.

> [1] Bort set fra en transparent proxy, men hvis det var sådan en, ville
> I slet ikke opdage problemet.

Det er det ikk, men jeg vil gerne finde en løsning så det for vores
brugere ser sådan ud - dvs ingen ændringer på folks maskiner.

--
MVH
Henning Wangerin / oz1lln

---

Den Thu, 15 Feb 2007 22:38:51 +0100 skrev Henning Wangerin:
> On Thu, 15 Feb 2007 21:10:54 +0000, Kent Friis wrote:
>
>> I modsætning til en NAT-router, så sender en proxy ikke bare trafikken
>> videre af sig selv[1]. Browseren skal specifikt bede den om det i sin
>> GET-request. Derfor kan det du ønsker ikke direkte lade sig gøre.
>
> Dvs at forespørgsnel fra breowseren er forskellig afhængig af om der køres
> med eller uden proxy?

Korrekt. Med proxy er request'en:
GET http://www.example.com/index.html HTTP/1.1

Uden proxy er den:
GET /index.html HTTP/1.1

>> Der er så nogle workarounds I kan overveje. En mulighed er en tunnel
>> igennem proxy'en, som dog kræver en maskine på den anden side af
>> proxy'en.
>
> Det er det mindste problem

Al trafik skal igennem den maskine, så hvis du sidder på en 10 mbit
og tunneler igennem en maskine med 256 kbit upload, så er det
256 kbit du kan bruge.

>> En anden mulighed er selv at sætte en linux-maskine op som
>> proxy (!), nærmere betegnet en transparent proxy. Det burde så være
>> muligt at få den til at oversætte GET-requests til noget en http-proxy
>> kan forstå.
>
> Det var noget i den stil jeg havde tænkt mig, så vores transparente proxy
> sender requests til biblioteksets proxy, så vi kan komme ud.

Jeg vil næsten tro at squid kan det.

>> For andet end http skal i over i noget SOCKS, hvis ellers bibliotekets
>> server supporterer dette (at du nævner FTP antyder at den gør).
>
> ftp kan du jo også gøre vi proxy - der er i det mindste en opsætning i
> firefox m.fl. til en ftp-proxy
>
>> I så
>> fald skulle det vel ikke være umuligt at finde et program der kan lave
>> en form for IP-tunnel over SOCKS. Jeg har dog aldrig hørt om et sådant
>> program.
>
> Vi kan ikke komme ud via andet en den skide proxy.
>
> Jeg har overvejet at lave en openvpn tunnel ud til mit eget netværk, så vi
> får fuld adgang, men den del virker umiddelbart endnu mere langhåret.

Tja, det er mit indtryk at SOCKS lever op til sit navn. Så hvis
openvpn kan tunnel'e igennem proxy'en, er det nok den nemmeste udvej.

Ideen med en decideret SOCKS-tunnel bør dog også undersøges, så undgår
I at skulle omvejen.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Thu, 15 Feb 2007 21:48:39 +0000, Kent Friis wrote:

> Korrekt. Med proxy er request'en:
> GET http://www.example.com/index.html HTTP/1.1
>
> Uden proxy er den:
> GET /index.html HTTP/1.1

Ok, så blev løsning lidt mere kompliceret

>> Det er det mindste problem
>
> Al trafik skal igennem den maskine, så hvis du sidder på en 10 mbit og
> tunneler igennem en maskine med 256 kbit upload, så er det 256 kbit du kan
> bruge.

Er jeg klar over. Med lidt held kan jeg få en box til at sidde på en 6Mbit
linie. Ellers må vi nøjes med en 8M/768k, men som til gengæld ikke har
begrænsninger på brugen

>> Det var noget i den stil jeg havde tænkt mig, så vores transparente
>> proxy sender requests til biblioteksets proxy, så vi kan komme ud.
>
> Jeg vil næsten tro at squid kan det.

Den vil jeg kigge lidt på, men den er vist for stor til en wrt54g

>> Jeg har overvejet at lave en openvpn tunnel ud til mit eget netværk, så
>> vi får fuld adgang, men den del virker umiddelbart endnu mere
>> langhåret.
>
> Tja, det er mit indtryk at SOCKS lever op til sit navn. Så hvis openvpn
> kan tunnel'e igennem proxy'en, er det nok den nemmeste udvej.

Ja jeg er egentlig også begyndt at helde mere og mere til den løsning

Jeg skal ha en stak openvpn servere/klienter sat op alligevel, så en
enkelt via en http-proxy kan vel ikke vælte læsset!

> Ideen med en decideret SOCKS-tunnel bør dog også undersøges, så undgår I
> at skulle omvejen.

Jeg tror bare ikke den går. Kommunen vil pt ikke give anden forbindelse
end via proxyen.

--
MVH
Henning Wangerin / oz1lln

---

Den Thu, 15 Feb 2007 23:14:28 +0100 skrev Henning Wangerin:
> On Thu, 15 Feb 2007 21:48:39 +0000, Kent Friis wrote:
>
>> Ideen med en decideret SOCKS-tunnel bør dog også undersøges, så undgår I
>> at skulle omvejen.
>
> Jeg tror bare ikke den går. Kommunen vil pt ikke give anden forbindelse
> end via proxyen.

Ideen var at finde et program (hvis det eksistere), der kan oprette
en tunnel fx. via et tun-interface, der automatisk går ud gennem
proxyen. Altså så programmet oversætter alt til noget proxy'en forstår.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Thu, 15 Feb 2007 23:41:56 +0000, Kent Friis wrote:

> Den Thu, 15 Feb 2007 23:14:28 +0100 skrev Henning Wangerin:
>> On Thu, 15 Feb 2007 21:48:39 +0000, Kent Friis wrote:
>>
>>> Ideen med en decideret SOCKS-tunnel bør dog også undersøges, så undgår
>>> I at skulle omvejen.
>>
>> Jeg tror bare ikke den går. Kommunen vil pt ikke give anden forbindelse
>> end via proxyen.
>
> Ideen var at finde et program (hvis det eksistere), der kan oprette en
> tunnel fx. via et tun-interface, der automatisk går ud gennem proxyen.
> Altså så programmet oversætter alt til noget proxy'en forstår.

Ok. Så misforstod jeg dig delvis.

Så bliver det nok openvpn der kommer på banen. Det skal jeg alligevel ha
gang i indenfor ikke alt for lang tid.

Tak for hjælpen.

--
MVH
Henning Wangerin / oz1lln

---

On 2007-02-15, Kent Friis <nospam@nospam.invalid> wrote:

>>> I modsætning til en NAT-router, så sender en proxy ikke bare trafikken
>>> videre af sig selv[1]. Browseren skal specifikt bede den om det i sin
>>> GET-request. Derfor kan det du ønsker ikke direkte lade sig gøre.
>>
>> Dvs at forespørgsnel fra breowseren er forskellig afhængig af om der køres
>> med eller uden proxy?
>
> Korrekt. Med proxy er request'en:
> GET http://www.example.com/index.html HTTP/1.1
>
> Uden proxy er den:
> GET /index.html HTTP/1.1

For at virtual hosts virker på webservere må browseren da sende hele
urlen? (Altså jeg tænker på virtual hosts med en enkelt ip men mange
sites)

--
Bo Simonsen | http://bo.geekworld.dk
Datamatiker, B.Sc. | bo@geekworld.dk

We make our world significant by the courage of our questions and by the depth of our answers.
--- Carl Sagan

---

Den 21 Feb 2007 15:46:11 GMT skrev Bo Simonsen:
> On 2007-02-15, Kent Friis <nospam@nospam.invalid> wrote:
>
>>>> I modsætning til en NAT-router, så sender en proxy ikke bare trafikken
>>>> videre af sig selv[1]. Browseren skal specifikt bede den om det i sin
>>>> GET-request. Derfor kan det du ønsker ikke direkte lade sig gøre.
>>>
>>> Dvs at forespørgsnel fra breowseren er forskellig afhængig af om der køres
>>> med eller uden proxy?
>>
>> Korrekt. Med proxy er request'en:
>> GET http://www.example.com/index.html HTTP/1.1
>>
>> Uden proxy er den:
>> GET /index.html HTTP/1.1
>
> For at virtual hosts virker på webservere må browseren da sende hele
> urlen? (Altså jeg tænker på virtual hosts med en enkelt ip men mange
> sites)

Nu var det kun selve GET'en jeg skrev. En HTTP-request indeholder
mange linier, og en af dem er:

Host: www.example.com

Det smarte i en transparent proxy (som der netop IKKE er tale om her)
er at den kigger i host-linien for at finde ud af hvilken server den
skal connecte til, hvorimod en alm. proxy kun kigger i GET-linien.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

> fald skulle det vel ikke være umuligt at finde et program der kan
> lave en form for IP-tunnel over SOCKS. Jeg har dog aldrig hørt om et
> sådant program.

Til Windows findes fx FreeCap som jeg bruger til at debugge
Javaprogrammer på maskiner der kun kan nås via SOCKS.

Jeg har heller ikke rigtigt fundet noget til Linux. Måske duer

http://www.dest-unreach.org/socat/
--
Thorbjørn Ravn Andersen

---

On Thu, 2007-02-15 at 21:10 +0000, Kent Friis wrote:
> En anden mulighed er selv at sætte en linux-maskine op
> som proxy (!), nærmere betegnet en transparent proxy. Det burde så
> være muligt at få den til at oversætte GET-requests til noget en
> http-proxy kan forstå.

Du tænker på http://tldp.org/HOWTO/TransparentProxy-6.html ?

Og for openwrt folket, http://forum.openwrt.org/viewtopic.php?id=2069

---

On Fri, 16 Feb 2007 00:45:27 +0100, Christian E. Lysel wrote:

> On Thu, 2007-02-15 at 21:10 +0000, Kent Friis wrote:
>> En anden mulighed er selv at sætte en linux-maskine op som proxy (!),
>> nærmere betegnet en transparent proxy. Det burde så være muligt at få
>> den til at oversætte GET-requests til noget en http-proxy kan forstå.
>
> Du tænker på http://tldp.org/HOWTO/TransparentProxy-6.html ?
>
> Og for openwrt folket, http://forum.openwrt.org/viewtopic.php?id=2069

Se det ser rigtigt godt ud.

Mange tak for det.

--
MVH
Henning Wangerin / oz1lln