Die grundsätzliche Funktionsweise dieses SF-Proxy habe ich verstanden. Was ich aber nicht verstehe ist Folgendes: Ich habe den SF-Proxy mit docker-compose auf meiner Synology installiert. Er läuft auch; was ein Blick in das Protokoll des SF-Containers bestätigt. Wie aber kann das eigentlich sein? Meine Synology kann von “aussen” nicht erreicht werden. Die Ports 80 u. 443 werden in der Firewall der Synology geblockt und sind auch in meiner Fritz!box nicht als Portfreigabe vorhanden. Meine Frage also: Wie ist es möglich das der in Docker laufende Proxy überhaupt nach aussen kommunizieren kann ?

  • sexy_peach@feddit.deM
    link
    fedilink
    arrow-up
    1
    ·
    2 years ago

    Wenn du eine Website aufrufst, sendet diese ja auch Daten zurück, trotz geschlossenen Ports. Ähnlich ist die Funktionsweise hier auch.

    • matar@feddit.deOP
      link
      fedilink
      arrow-up
      1
      ·
      2 years ago

      Der Proxy initiiert die Verbindung.

      Das beschreibt die grundsätzliche Funktionsweise, die mir ja klar ist. Unklar hingegen ist mir wie der SF-Proxy überhaupt etwas initiiren kann, wenn doch meine Synology per Setup gar nicht erreichbar ist (kein QuickConnect, keine DynDNS, keine Portfreigabe) und selbst doch eigentlich auch gar nicht - jedenfalls nach meinen bescheidenen Kenntnissen- nach Aussen funken können sollte.

      • christoph@feddit.de
        link
        fedilink
        arrow-up
        1
        ·
        edit-2
        2 years ago

        Aber der Proxy muss nicht erreichbar sein. Dein Browser ist das auch nicht. Trotzdem bekommt er die Pakete zurück, die zu der Verbindung passen, die er aufgebaut hat.

        Der Proxy baut die Verbindung auf, blockiere dessen Internetverbindung und du hast 0 Verbindungen im Log.

        Das Prinzip nennt sich “stateful inspection” (https://de.wikipedia.org/wiki/Stateful_Packet_Inspection).

        Bei einer alten (nicht stateful inspection) Firewall brauchst du zwei Regeln für die Kommunikation:

        • HTTPS ausgehend
        • HTTPS eingehend

        Bei einer stateful inspection Firewall brauchst du nur eine Regel:

        • HTTPS ausgehend

        => Die Pakete, die als Antwort auf die von innen initiierte Verbindung empfangen werden, werden automatisch durchgeroutet

      • sexy_peach@feddit.deM
        link
        fedilink
        arrow-up
        1
        ·
        2 years ago

        Zum Beispiel könnte sich der Proxy beim Tor Broker melden und sagen hi, zu wem soll ich Mal Verbindung aufbauen.