HTTP-Traffic über Proxy leiten

Hallo zusammen,

ich würde gerne mal meinen Proxy-Server zwecks Caching von HTTP in mein Freifunk-Netz integrieren um zu gucken ob ich Geschwindigkeitsvorteile erzielen kann. Insbesondere bei einer schmalen Anbindung bei vielen Clients erhoffe ich mir da positive Effekte, habe das schon bei anderen Wifi-Knoten verwendet.

Den Proxy betreibe ich einfach mit einer festen IP an den LAN-Ports von einem Freifunkrouter. Allerdings habe ich es noch nicht geschafft den Traffic auf Port 80 mit IP-Tables an den Proxy weiter zu leiten. Könnt ihr mir dabei helfen? Ich habe schon einiges ausprobiert, allerdings ohne funktionierendes Resultat. Wie müssten die entsprechenden Iptables-Regeln ausschauen?

Danke und liebe Grüße,

Saskia

1 Like

Welche Firmware vewendest du? Welche Community?

Bei Gluon ist dies nicht möglich, der Knoten betreibt kein Routing

Hi Saskia,

prinzipiell ist die Idee gut.
Allerdings habe ich Bedenken dabei, den Traffic über einen Proxy zu leiten, da

  1. die Client-Anwendungen davon nichts wissen, da er ja transparent
    wäre, und das bestimmt zu der ein oder anderen technischen
    Komplikation führt

  2. die Benutzer (sofern sie es denn wüssten) bestimmt nicht wollen,
    dass Ihre Daten über einen Proxy geleitet werden, an dem man relativ
    einfach Daten abgreifen kann (was ich Dir damit jetzt nicht
    unterstellen will)

Zudem wird bei den meisten Anwendungen mittlerweile eh HTTPS eingesetzt, da bringt dann der Proxy leider auch nichts.

1 Like

Es bringt technisch nichts. Gar nichts. Wirklich nicht.
Wo kein Flaschenhals ist kann man keinen beseitigen.
Man baut ich lediglich eine Dauerbaustelle inkl SinglePointOfFailure ein.

Die Antwort auf Deine „ob“-Frage lautet: Mit etwas Glück nur wenig negativen.

1 Like

Es verstößt gegen das PPA Datenpakete von Nutzern so zu manipulieren, dass sie an ein Proxy gesendet werden obwohl sie ins Internet geroutet werden sollen.

2 Likes

Ahoi,

ich habe die FF-Rheinland Firmware im Einsatz, also Gluon.

Schade, dass das so einfach nicht möglich ist. Bei einem ‚normalen‘ Setup mit NAT-Router habe ich das immer noch mal eine Runde über den Proxy geleitet, das war gar kein Problem…

Aber gibts da wirklich keine Möglichkeit die Pakete z.B. über iptables zu routen?

a) Unserer Regeln verbieten es, das zu tun
b) es führt einem langsameren Netzzugriff
c) der Router braucht mehr Resourcen.

Oder um es deutlicher zu sagen: Du kannst das tun, es ist nur nicht zulässig und erreicht das Gegenteil von dem was Du bezweckst. Im Endeffekt sorgt es nur für Frust bei den Opfern der Aktion. Und vermutlich bei Dir, weil Du die Welt für undankbar hältst, schließlich hättest Du es doch nicht böse gemeint.

P.S.: Ich betreibe durchgehend seit mehr als 18 Jahren diverse Squid-Installationen (auch source/reverse oder als Hierachie mit mehreren Sibelings). Daher bilde ich mir ein, die Auswirkungen diversen ziemlich durchschnittlichen Client-Netzen zu kennen. Schneller wird das Netzgefühl nur in ganz bestimmen Szenarien. In der Mehrzahl der Fälle hilft Squid nur bei extrem problematischen Anbindungen.

1 Like

Moin,

ich bin mir auch über die Konsequenzen klar, und auch technisch nicht unbedarft.

Ich möchte auch gar nicht über das PPA diskutieren - da habe ich mir schon vorher Gedanken drüber gemacht. Ich will das auch gar Setup auch gar nicht groß ausrollen, sondern nur mal zum Testen betreiben. Wenns euch glücklicher macht kann ich auch versprechen das Meshing abzuschalten und die SSID umzubenennen.

Und dass das im Alltag nicht wirklich nützlich ist ist klar.
Ich denke da an Anwendungsfälle wo man so 2-5mbit ADSL bei sehr vielen Teilnehmern hat (ja, so was kenne ich). Wobei man berechtigterweise fragen kann ob man da wirklich Freifunk mit seinem Overhead verwenden will.

Atm habe ich halt ein Setup mit einem OpenWRT Router, der den HTTP-Traffic zum Proxy weiterleitet und einen zweiten Router mit Freifunk, der an das Internet angeschlossen ist. Ziel der Übung ist nun eigentlich nur gewesen einen Router einzusparen. Ist aber prinzipiell auch nicht wichtig, weil die Router eh nicht teuer sind.

Ich weiss nicht, in welcher Domain Du Dich bewegst, aber normale Freifunk-Domains mit 500 und mehr Nodes haben rund 90-95% Background-Traffic.
Da kannst Du natürlich gern versuchen, die Hälfte von den verbliebenen 5-10% zu sparen.
In der Praxis wirst Du aber weniger erreichen.

je nach dem was die leute surfen macht das schon sinn … wenn 20 kinder blindekuh starten ist freifunk tot :smile:
jetzt mal vom rechlichen abgesehen …

Naja, willst du dann direkt über deinen Internetanschluss den Traffic ausleiten? Dann kann dir niemand verbieten, irgendwas zu tun. Auch die SSID „Freifunk“ ist unproblematisch. Kann dir ja niemand verbieten, was beliebiges in deine SSID zu schreiben.

Aber sobald du irgendwie am Netz mit teilnimmst, also z.B. durch Meshing oder auch durch den VPN-Uplink zu den Supernodes (Der ja auch ein Teil des Mesh ist), ist das PPA Pflicht.

Wenn wir bei unserer Domäne rauskriegen, dass jemand sich nicht an das PPA hält wird derjenige solange ausgesperrt bis der Verstoß abgestellt wird. Und da wird auch nicht verhandelt. Dafür ist Freifunk einfach nicht gedacht.

Was ich maximal noch als Test akzeptieren kann wäre ein Netz mit verschlüsselter SSID, wo wirklich nur du reinkommst. Und auch dann nur, wenn ausgeschlossen ist, dass Daten, die über das Mesh von Unbekannten reinkommen, durch den Proxy gehen. Solange du nur deine Daten umleitest ist das deine Sache.

1 Like

Wäre Web Proxy Auto-Discovery Protocol - Wikipedia (oder natürlich Proxy von Hand eintragen) nicht eine simple Möglichkeit, ohne mit dem PPA in Konflikt zu geraten?

Wenn der Proxy nicht transparent, sondern explizit konfiguriert ist, geht das das PPA doch einen feuchten Furz an. …

1 Like

Ich kann es nur wiederholen:
Es wird dazu führen, dass das Surfen gefühlt langsamer wird. Und es wird keinen Traffic sparen. Und es wird zusätzliche Fehlerzustände geben. it’s really simple as that.

Alles was es bringt ist ein Layer um sinnvoll den einen oder anderen Filter anzudocken, den man vor zu vielen simultanen Connects schützen muss.

Der meiste Traffic im Freifunk Netz sind doch eh HTTPS Verbindungen und da wirkt ein Proxy ja gar nicht.

Naja, geht schon, man muss dann seinen Clients nur noch ein passendes Root-Zertifikat unterschieben. In den „richtigen“ Umgebungen macht man das per Domain-Policy…
(Wir sind doch hier im Thread zu Thema „dreckigen Kram“, oder?)

Tja … schade … wäre IMHO für öffentliche Informationen nicht unbedingt nötig.

Was ist an Caching/Proxies dreckig? Zumindest, wenn sie nicht-transparent arbeiten?

Sind doch extra größere Teile des HTTP für vorgesehen. Alles für „dreckigen Kram“, der gar nichts bringt?

Transparente Zwangsproxies mit universellen Root-Zertifikaten, die sich auch für https dazwischenschieben… Ich habe wenig freundliche Worte dafür übrig und denke „dreckig“ ist da noch geschmeichelt.

Klar, aber warum dafür dann gleich alle Arten von Proxy/Caching bzw. den ganzen Thread verdammen oder habe ich Dich da falsch verstanden?

Weil der Thread heisst

HTTP-Traffic über Proxy leiten

Und es geht um:

Da sehe ich nicht viel Spielraum.

Eventuell verwechselst Du das mit diesen beiden Threads:

und

1 Like

Da drunter würden für mich auch „gute“, nicht-transparente Proxies fallen. :stuck_out_tongue:

Ah, dann ist da der Unterschied. Ich hätte es zumindest für möglich gehalten, dass die Möglichkeit, sowas auch ohne Bevormundung der Benutzerx (durch transparente Zwangsumleitung des kompletten Traffic) und stattdessen mit vorgesehenen, Protokoll-konformen und meiner Ansicht nach auch PPA-konformen Browser-Einstellungen zu realisieren, einfach nicht eingefallen ist.

Verwechseln nicht, aber Danke für die Links! Vielleicht kann @saskia ja sowas stattdessen realisieren, ganz ohne IP-Tables-Geschubse auf den Routern. :wink: