Am Mon, 2003-03-10 um 13.31 schrieb Thomas Moritz u.a.:
Kann squid eigentlich rechnerspeziefische Black- White -Listen verwalten oder nur Systemweite ? Squid auf dem Router sollte ja aus Sicherheitsgruenden auch nicht sein, oder ?
Ich benutze hier eine Kombination aus BIND9/DHCP, iptables-Regeln, Squid und SquidGuard (alles SuSE 8.1). Die Zugriffszeiten schränke ich per Cronjobs ein. Der DHCP-Server vergibt für die Kidsrechner nur an die MAC gebundene IP-Adressen. Über Iptables regle ich das die beiden zu bestimmten Zeiten nur über den Proxy bzw. gar nichts ins Internet kommen. Dazu habe ich folgendes Script: http://www.linuxguruz.org/iptables/scripts/rc.firewall_023.txt entsprechend ergänzt/modifiziert. Das Teil hat bisher alle Portscans mit Bravour hinter sich gebracht/überstanden. Die SuSE-Firewall2 benutze ich daher nicht. Den Clientzugriff auf den Proxy regle ich über SquidGuard - "default { pass none}" und ansonsten an die Clients/IP's gebundene Regeln. Die mit SquidGuard gelieferte bzw. auf der Website erhältliche "große" Blacklist ist schon recht gut, hat aber den Nachteil das sie eher für den englischen Sprachraum ausgelegt ist. Deshalb habe ich zusätzlich eine de-blacklist eingebunden (erhältlich hier: http://www.bn-paf.de/filter/index_de.html . Nach Aktualisierungen der Blacklists suche ich per Cronjob. Das Update mache ich lieber manuell. Das ganze läuft hier inzwischen stabil und ohne irgendwelche Probleme.
Allerdings moechte ich dabei selbst festlegen auf welchen Seiten sie surfen darf.
Mit dieser Lösung gibt es natürlich keine "100%tige" Sicherheit. Sie ist wie gesagt recht gut. Wenn du wirklich festlegen willst, das deine Kleine nur auf z.B. 10 bestimmte Seiten zugreifen darf, läßt sich das sicher mit iptables-Regeln realisieren. Dafür habe ich mich aber nie wirklich interessiert. Es ging mir immer nur darum einen Teil des "Dschungels" auszusperren. Schließlich soll die allgemeine Nutzung z.B. für Schulrecherchen, weiter möglich sein. Grüße -Klaus