kevin’s blog

Folgende Problematik hatte ich die Tage:
Derletzt kam ich in einem Firmennetzwerk nur durch einen Proxy (Squid) mit Authentifizierung ins Internet.  Die Problematik war, das nur ich einen Zugang zum Proxy hatte und ich trotzdem anderen die Möglichkeit geben wollte, ins Internet zu kommen. Jedoch wollte jedoch nicht jedem meine Zugangsdaten geben, da ich mit diesen ebenfalls zu anderen Passwortgeschützten Bereichen mit einloggen konnte. Das ganze sollte so transparent wie Möglich geschehen.

Eine reine Weiterleitung per iptables hätte nichts gebracht - die Authentifizierung zum Proxy würde nur durchgereicht werden. Ein Apache2-Forward-Proxy mittels ProxyRemote-Direktive hätte auch nichts gebracht - diese unterstützt keine Authentifizierung (da gab’s zwar einen Patch für mod_proxy.c, jedoch fand ich das unsauber).

Lösung

Man richtet sich unter Debian mittels apt-get einen normalen Squiddy ein:

apt-get install squid

Nun zur Konfiguration - die Lösung war mittels cache_peer einen übergeordneten Proxy (unser Proxy mit Authentifizierung) anzugeben, der die Anfragen an diesen weiterleitet. Wer häts gedacht - dort gibt es die schöne Option “login” :-).

cache_peer proxy parent 3128 0 login=user:password default no-query no-digest
never_direct allow all

Erklärung:

proxy = Der Proxy mit Authentifizierung, an den wir die Requests weiterleiten möchten
parent = Sagt nur, das dieser ein obergeordneter Proxy ist
3128 = Port des Proxys mit Authentifizierung
0 = ICP Port (0 = ausgeschalten, brauchen wir nicht)
login = Anmelde Informationen für den Proxy (Format: ‘login=user:password’)
default = default
no-digest = Sendet keine Digest-Anfragen
no-query = Sendet keine ICP-Anfragen (ICP Port = 0)

never_direct = Damit Squid niemals versucht, die Anfragen selber aufzulösen

Nun noch die Access-Logs (Direktive: access_log) auskommentieren und jeder (wahlweise nun auch mit eigener Authentifizierung) kommt anonym durch einen gemeinsamen Login ins Internet.