Einigen Usern Internet-Zugang sperren
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen. Albert
Am Sam, 2002-04-20 um 12.59 schrieb A. Bogner:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
Hallo Albert, eine Zugriffskontrolle ist via SuSE FW2 nicht möglich. Dafür brauchst Du einen Proxy (z.B. Squid) Gruß, Roland
Am Samstag, 20. April 2002 13:07 schrieb Roland Ehle:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
eine Zugriffskontrolle ist via SuSE FW2 nicht möglich. Dafür brauchst Du einen Proxy (z.B. Squid)
Und wie sperre ich ssh für bestimmte user? Albert
Hallo Albert, Am Sam, 2002-04-20 um 13.39 schrieb A. Bogner:
Am Samstag, 20. April 2002 13:07 schrieb Roland Ehle:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
eine Zugriffskontrolle ist via SuSE FW2 nicht möglich. Dafür brauchst Du einen Proxy (z.B. Squid)
Und wie sperre ich ssh für bestimmte user?
Sorry, da muss ich leider passen soll heißen habe keine Ahnung. Vielleicht kann Dir jemand anderes weiterhelfen. Gruß, Roland
Und wie sperre ich ssh für bestimmte user? Das müsste wie folgt funktionieren.
Setze in der /etc/passwd für die Nutzer die Shell auf /bin/false denen Du keinen Zugang zu einer Shell gewähren möchtest. Das müsste bei SSH genauso funktionieren wie bei Telnet. Beispielauszug (eine Zeile der /etc/passwd): test:XXXXPASSWORDXXXX:500:0:test-user:/home/test:/bin/false Das dürfte es gewesen sein. Mit freundlichen Grüßen, Carsten Breitbarth --- | web: http://www.realxonic.de | email: mailto:ich@realxonic.de | "Der Pinguin ist ein gutes Logo für Linux, | denn was nicht fliegt, stürzt auch nicht ab." | Francis Kuhlen (IBM-Vice President Sales) ---
Am Samstag, 20. April 2002 14:03 schrieb Carsten Breitbarth:
Und wie sperre ich ssh für bestimmte user?
Das müsste wie folgt funktionieren.
Setze in der /etc/passwd für die Nutzer die Shell auf /bin/false denen Du keinen Zugang zu einer Shell gewähren möchtest. Das müsste bei SSH genauso funktionieren wie bei Telnet.
Beispielauszug (eine Zeile der /etc/passwd): test:XXXXPASSWORDXXXX:500:0:test-user:/home/test:/bin/false
Das dürfte es gewesen sein.
Dann kann der user ja gar keine Befehle auf der Konsole mehr eingeben, oder? Ich muss wieder mal präzisieren: Ich meine ssh via Internet. ssh lokal soll erhalten bleiben. Jegliches Programm bzw. jeglicher Befehl, der Pakete über das Internet verschickt soll blockiert werden. Surfen am Webserver im lokalen Netz ist ok, im Internet soll es aber nicht möglich sein. Analog für email: lokale emails versenden ist ok, nicht aber via Internet, usw., analog auch für ftp, etc. IMO liegt die Schwierigkeit dort, wo kein Proxy-Server möglich ist. Albert
On Sat, Apr 20, 2002 at 02:28:28PM +0200, A. Bogner wrote:
Ich muss wieder mal präzisieren: Ich meine ssh via Internet. ssh lokal soll erhalten bleiben. Dann sperre doch den SSH Zugriff für alle IP-Adressen ausser denen Deines lokalen Netzwerks. man iptables
greetinXs, Telefon: 07275/618351 Michael Hilscher Handy: 0173/3071899 Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Am Samstag, 20. April 2002 14:28 schrieb A. Bogner:
Dann kann der user ja gar keine Befehle auf der Konsole mehr eingeben, oder?
Richtig.
Ich muss wieder mal präzisieren: Ich meine ssh via Internet. ssh lokal soll erhalten bleiben. Jegliches Programm bzw. jeglicher Befehl, der Pakete über das Internet verschickt soll blockiert werden. Surfen am Webserver im lokalen Netz ist ok, im Internet soll es aber nicht möglich sein. Analog für email: lokale emails versenden ist ok, nicht aber via Internet, usw., analog auch für ftp, etc.
http und ftp hast Du ja schon gehört, kann über einen Proxy mit Passwortangabe geregelt werden. Alles andere wird schwierig, der Gateway-Rechner kann ja nun wirklich nicht wissen, unter welchem Benutzer der User am zweiten Rechner angemeldet ist, der kriegt einfach eine Anfrage von IP-Adresse xyz... -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Hy, Am 02/04/20@14:28 schrieb A. Bogner:
Am Samstag, 20. April 2002 14:03 schrieb Carsten Breitbarth:
Und wie sperre ich ssh für bestimmte user?
Das müsste wie folgt funktionieren.
Setze in der /etc/passwd für die Nutzer die Shell auf /bin/false denen Du keinen Zugang zu einer Shell gewähren möchtest. Das müsste bei SSH genauso funktionieren wie bei Telnet.
Beispielauszug (eine Zeile der /etc/passwd): test:XXXXPASSWORDXXXX:500:0:test-user:/home/test:/bin/false
Das dürfte es gewesen sein.
Dann kann der user ja gar keine Befehle auf der Konsole mehr eingeben, oder?
Ich muss wieder mal präzisieren: Ich meine ssh via Internet. ssh lokal soll erhalten bleiben. Jegliches Programm bzw. jeglicher Befehl, der Pakete über das Internet verschickt soll blockiert werden. Surfen am Webserver im lokalen Netz ist ok, im Internet soll es aber nicht möglich sein. Analog für email: lokale emails versenden ist ok, nicht aber via Internet, usw., analog auch für ftp, etc.
IMO liegt die Schwierigkeit dort, wo kein Proxy-Server möglich ist.
<fantasier> Vielleicht gehst Du über das routing und entfernst in /etc/route.conf die default route und setzt diese dann über /etc/profile.local. if "$UID = <UserDenDuAussperrenWillst>; then else route add default gw <DeinGateway> fi Dann grüdest Du eine Gruppe zugriff und schreibst dort alle rein, die Zugriff haben sollen. Anschließend ein chmod root.zugriff /sbin/route und es könnte klappen. </fantasier> Ich weiss nicht ob Du wirklich allen Usern mit Zugriff auf das Netz auch Zugriff auf route gewähren willst, aber HTH. -- :wq-y Maik
* A. Bogner schrieb am 20.Apr.2002:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
Der User braucht bloß kein Mitglied der Gruppe uucp zu sein, und schon darf er sich nicht raus bewegen. Allerdings auch nicht innerhalb des Netzes. Wenn er nicht Mitglied der Gruppe dialout ist, so darf er nicht selber rauswählen, aber wenn die Verbindung zum Internet besteht, so kann er sie auch nutzen. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Hallo, * Am 21.04.2002 postete A. Bogner:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
Du müsstest die jeweiligen User unterscheiden und dementsprechend könntest Du ein Skript aufrufen, was - auflegt - Masquerading deaktiviert - etc. etc. Ich gehe mal davon aus, daß der 2. Rechner ein Windoof-Rechner ist. Dann könntest Du evtl. Mit Samba und logsurfer was basteln. Was ebenso möglich wäre, ist, ein CGI-Skript auf dem Apachen laufen zu lassen, womit Du die Anwahl steuern kannst. Diese Seite kannst Du passwortschützen. hth -- Gruß Alex -- 640K sollte genug für jedermann sein [Bill Gates 1981]
Hallo, * Am 23.04.2002 postete Alex Klein:
Hallo,
* Am 21.04.2002 postete A. Bogner:
Welche Möglichkeit gibt es definierten Usern den Internet-Zugang zu sperren, wenn 2 Rechner vorhanden sind. 1 Rechner dient als Firewall mit Masquerading + Proxy (Suse FW2) und der 2. Rechner enthält die User. Am 2. Rechner ist also als Gateway der 1. Rechner eingetragen.
Du müsstest die jeweiligen User unterscheiden und dementsprechend könntest Du ein Skript aufrufen, was
- auflegt - Masquerading deaktiviert - etc. etc.
Ich gehe mal davon aus, daß der 2. Rechner ein Windoof-Rechner ist. Dann könntest Du evtl. Mit Samba und logsurfer was basteln. Was ebenso möglich wäre, ist, ein CGI-Skript auf dem Apachen laufen zu lassen, womit Du die Anwahl steuern kannst. Diese Seite kannst Du passwortschützen.
Die CGI-Skripte würden auch Betriebssystemübergreifend funktionieren. -- Gruß Alex -- Nicht jeder Idiot ist ein idiot. Manche tun nur so als seien sie Idioten. [WoKo in dag°]
participants (9)
-
A. Bogner -
Al Bogner
-
Alex Klein -
B.Brodesser@t-online.de -
Carsten Breitbarth -
Maik Holtkamp -
Manfred Tremmel -
Michael Hilscher -
Roland Ehle