Van egy szolgáltatás, amit ki szeretnék engedni. Nem HTTP alapú, és nem a szerveren van a kliensprogram. A tűzfalban kiengedtem, a squidben is ki kell?
Amúgy arra tudnátok válaszolni, hogy a squidnek a http forgalmon kívül van köze az egyebekhez? Vagy ha kiengedek egy portot a tűzfalon, akkor az megy?
Kicsit pontosítanék:
Van egy Linux szerver. Azon megy keresztül minden forgalom. A tűzfalon (iptables) kiengedtem a portot. Az a kérdésem, hogy a proxyban is ki kell-e engedni (squid), vagy nem. Van-e köze a nem http forgalomhoz?
Jogos, nem jól fogalmaztam, a SOCKS-ot és a Gophert (mi is az?)kihagytam:
A tüzfal és a proxy az angol terminológiában különbözik.
A magyarok a proxyt (is) tüzfalnak fordították sajnos, holott a kettő nem ugyanaz.
Proxy: egyfajta átjárást biztosít különböző hálózatok között alkalmazás szinten. Akkor is, ha az átjáró erre nem ad közvetlenül lehetőséget (nincs NAT). További előnyei lehetnek a webszűrés, felhasználó szűrés, audit, egyéni hibák kijelzése stb.
Tűzfal: védelmet nyújt a behatolások ellen, blokkol(hat)ja a portok/alkalmazások forgalmát.
A kettő gyakran egyesítve van manapság.
Évekkel ezelőtt használtam win9x alatt proxyt netmegosztásra, amely akkoriban nem tartalmazott tűzfalat.
Proxy: egyfajta átjárást biztosít különböző hálózatok között alkalmazás szinten. Akkor is, ha az átjáró erre nem ad közvetlenül lehetőséget (nincs NAT). További előnyei lehetnek a webszűrés, felhasználó szűrés, audit, egyéni hibák kijelzése stb.
Tűzfal: védelmet nyújt a behatolások ellen, blokkol(hat)ja a portok/alkalmazások forgalmát.
röviden, nagyon egyszerűsítve: vannak proxy szerverek, amelyekben port szintű kommunikációt is lehet szabályozni, nem csak egyszerű http vagy ftp forgalom esetén lép a kliens és a cél közé.
Továbbá ha egy belső alkalmazásnak adott porton kommunikálnia kell a nagyvilággal, akkor port engedélyezési (exception) szabály(oka)t kell alkalmazni.
Tehát nem csak tűzfal képes portok blokkolására stb.
vannak proxy szerverek, amelyekben port szintű kommunikációt is lehet szabályozni,
Igaz. De a böngészőt/kliensprogramot is rá kell állítani. Ha átjárószinten (NAT) szól bele, akkor tüzfalat is tartalmaz.
A proxy önmagában még nem tüzfal, áttételesen ad védelmet a kliens számára azzal, hogy visszafele nem lehet elérni őket. Az MS proxy-t sosem használtam, helyette a WinGate volt a megoldás anno. Tüzfalat nem tartalmazott, csak proxy-t. Igaz, anno nem is volt szükség tüzfalra . Késöbb beleimplementálták.
Port blokkolására csak a tüzfal képes, de ha a NAT ki van kapcsolva, a proxy házirendje elég ahhoz, hogy egy belső gépet kívülröl ne lehessen elérni.
A Proxy Server mind a kimenő, mind a bejövő csomagok szűrését támogatja. Egyedülálló módon a Proxy Server dinamikusan állapítja meg, hogy mely csomagok engedhetők át. Különálló szűrők
akadályozzák meg, hogy a Proxy kiszolgálón a megadottaktól eltérő csomagok áthaladjanak. Az alkalmazások futtatásához szükséges portok manuális megadása és állandó nyitva tartása helyett a Proxy Server a szükségletekhez igazodva nyitja meg a portokat, majd a kommunikáció befejeztével automatikusan zárja azokat.
Ha átjárószinten (NAT) szól bele, akkor tűzfalat is tartalmaz - ez sem igaz
Ugye a proxy egyik alapvető feladata, hogy elrejtsék, megvédjék egy bizonyos hálózat számítógépeit oly módon, hogy a kérést fogadó szerver csak a proxy IP címét látja, ezáltal a mögötte csücsülő gépek IP címeit elrejti. (proxy = más nevében eljáró)
Az idézett leírás MS forrásból való, ami közismerten jól tudja téveszteni az olvasót.
Röviden: proxy csak a rajta átmenő forgalmat vezérli, a NAT-ba+portforwardba nem tud beleszólni (nem is ismeri)
Tüzfal meg a rajta+proxy-n átmenő forgalmat is /utobbi esetben áttételesen/ blokkolhatja.
Ismételten: 99ben proxyztam tüzfal nélkül. NAT hiján a proxyval lehetett a hozzáférést szabályozni. Később jött a tüzfal+NAT. Innentröl a kliens a proxy kihagyásával már csak a tüzfal volt fönök.
Lehetővé teszi belső hálózatra kötött saját nyilvános IP cím
nélküli gépek közvetlen kommunikációját tetszőleges
protokollokon keresztül külső gépekkel. Vagyis, hogy több
számítógépet pl. egy routeren keresztül kössünk az internetre.
Az elsődleges cél ez esetben az, hogy egy nyilvános IPcímen
keresztül több privát IP-című számítógép
csatlakozhasson az internethez. A belső gépekről érkező
csomagok feladójaként saját magát tünteti fel a tűzfal, így
elrejthető a host igazi címe a válaszcsomagok is hozzá
kerülnek továbbításra, amiket a belső hálózaton
elhelyezkedő eredeti feladó részére továbbít. Egy proxy-val
ellentétben itt a csomagokat csak továbbküldik és nem
analizálják a tartalmukat.
Most arra nem térnék ki, hogy vannak csak NAT szerverek, hogy a legtöbb tűzfal NAT-ol stb.
A hibás fordítás abból ered, hogy a proxy önmagában nem tűzfal, nem képes blokkolni NAT-on átmenő forgalmat, sem NAT-olni, a tűzfal önmagában nem proxy, nem képes a proxy által nyújtott szolgáltatásokra.
Ha kísérletetezni akarsz:
1. tegyél fel egy standalone tűzfalat, amiben nincs proxy, pl Comodo
2. tegyél fel egy standalone proxy szervert, pl Ezt, ebben nincs tűzfal
3. Tegyél fel egy komplett megoldást, pl ezt. Tűzfal NAT-tal és proxy is van benne.
Abban egyetértünk, hogy a mai proxy szervernek nevezett megoldások általában mindkét oldalt tartalmazzák.
