Hallo Leute, 1) hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt? Bei mir geht das nämlich nicht. Vom Terminal des SLSS aus habe ich kein Problem. Von einem Windowsclient aus komme ich aber nicht durch. Da dürfte Squid die Finger im Spiel haben - wie umgeht man ihn? (Unsere Homepage will einfach ins Internet....) 2) Wo muss man schrauben, damit nicht jeder (d.h. ich) mit diesem lästigen Kennwort ins Internet gehen muss? Irgendwo steht required - ich kann ja schlecht hinzufügen "but not for me" Viele Grüße Wolfgang
Am Dienstag, 26. August 2003 18:16 schrieb hoeferwolf@t-online.de:
1) hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt? Bei mir geht das nämlich nicht.
Mit Win98 gerade ausprobiert: es funktioniert mit dem IE V5.5 bei mir auch nicht. Unter Linux habe es mit dem Konqueror auch noch nicht geschafft - aber mit Mozilla funktioniert es bei mir - vielleicht installierst du diesen mal unter Windows?
2) Wo muss man schrauben, damit nicht jeder (d.h. ich) mit diesem lästigen Kennwort ins Internet gehen muss? Irgendwo steht required - ich kann ja schlecht hinzufügen "but not for me"
kann ich dir leider auch icht sagen, irgendwo in squid.conf (aber da ist ja anscheinend auch sehr viel in ldap ausgelagert worden und da kenne ich mich (noch?) nicht aus. Aber warum findest du das lästig - meiner Meinung nach ist das äußerst sinnvoll - zum einen wird dann in /var/log/squid/access.log automatisch der Username, Datum und angesurfte URL mitgeloggt (ohne dass ein identd oder ähnliches installiert werden muss, der auch wieder leicht ausgetrickst werden kann), zum anderen erkennen die Schüler durch diese Anmeldung, dass ihr "Auftreten" im www gar nicht so anonym ist, wie sie das gerne hätte (soetwas muss aber vorher von den Eltern der Schüler unterschrieben werden, dass alles mitgeloggt wird.) Und zu guter Letzt kann man so sehr einfach verschiedenen Usern den Internetzugang sperren. Viele Grüße Dieter P.S.: Um das Archiv später besser durchsuchen zu können, wäre es schöner, wenn du bei zwei Fragen zwei Postings erstellen würdest.
hoeferwolf@t-online.de wrote:
Hallo Leute,
1) hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt? Bei mir geht das nämlich nicht. Vom Terminal des SLSS aus habe ich kein Problem. Von einem Windowsclient aus komme ich aber nicht durch. Da dürfte Squid die Finger im Spiel haben - wie umgeht man ihn? (Unsere Homepage will einfach ins Internet....).
Dazu müsstest du Masquerading anschalten, aber das ist nicht so trivial, such mal im Web danach. Du musst auch beachten, die MTU dann zu ändern...; hier hab ich auch schon mal geänderte Tools für Internetzugang sperren geschrieben. Allerdings kann man damit dann nicht mehr einzelnen Usern den Zugang sperren, sondern nur noch klassenweise wenn man ohne Proxy ins Internet geht (kann man ja an Clients ausschalten). Gruß Frank
Hallo Wolfgang,
hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt?
wie Frank Wein schon so richtig schrieb, mußt Du den SLSS dazu überreden, daß er NAT macht. Aber im Gegensatz zu seiner Aussage, ist dies ausgesprochen trivial: Du startest das Yast-Kotrollzentrum und wählst "Sicherheit & Benutzer" und "Firewall". Hier konfigurierst Du anhand Deiner Gegenheiten (die Tips im linken Frame sind sehr hilfreich. Also unbedingt lesen!). Für Dich sollte der Schritt 3 entscheident sein! Hier ist "Daten weiterleiten und Masquerading" zu selektieren. Damit hast Du NAT aktiviert. Auf dem Client, der uneingeschränkt ins Web soll, mußt Du unbedingt die Default-Route auf den SLSS zeigen lassen und einen DNS-Eintrag hinterlegen. Daß sollte es dann gewesen sein!!! Es ist aber zu beachten, daß dieses NAT für Dein _gesamtes_ Netz gilt. Will sagen, wenn Du Schüler hast, die ein wenig durchsehen, dann umgehen diese spielend Deine vom SLSS aufgebauten Sicherheitsmaßnahmen. Hier ist also ein wenig Fingerspitzengefühl angesagt. Wenn Du dem vorbeugen möchtest, dann schau Dir einfach mal die Konfiguration der Firewall an. Diese findest Du unter /etc/sysconfig/SuSEfirewall2. In aller Ruhe durchlesen und Du bist der Meister Deiner Firewall ;-) Falls Du noch Probleme haben solltest, poste ich gern einen interessanten Link... Walze. Frank G.Walzebuck | phone: +49 30 80 944 836 Linux-Consultant | mobil: +49 163 80 94 836 Unix-Administrator | sydios it-solutions gmbh | fax: +49 30 80 944 874 Hohenzollerndamm 44 | http://www.sydios.de D-10713 Berlin / Germany | mailto: fwalzebuck@sydios.de
Hallo Walze, Am Montag, 1. September 2003 07:49 schrieb Frank Gerd Walzebuck:
Hallo Wolfgang,
hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt?
wie Frank Wein schon so richtig schrieb, mußt Du den SLSS dazu überreden, daß er NAT macht.
Jetzt aber noch eine Frage von mir - warum funktioniert ftp mit den konqueror, dem IE nicht, aber wenn ich das mit dem mozilla (1.2.1) unter Linux vom Client ausprobiere funktioniert es, ohne das ich masquerading eingestellt habe? Masquerading ist doch nicht Browser abhängig?? Ein etwas verunsicherter Dieter
Morjen Dieter,
Jetzt aber noch eine Frage von mir - warum funktioniert ftp mit den konqueror, dem IE nicht, aber wenn ich das mit dem mozilla (1.2.1) unter Linux vom Client ausprobiere funktioniert es, ohne das ich masquerading eingestellt habe? Masquerading ist doch nicht Browser abhängig??
Nun mal langsam, liebe Leser! Wir wollen hier nichts durcheinander bringen. 1. Browser können sehr wohl verschieden reagieren, was aber eher an deren Programmierung bzw. dem RFC-Verständnis der Programmierer liegt. :-( So will der Mozilla meist den "vollqualifizierten Domainnamen", während andere Browser da viel toleranter sind. 2. Dieter, Du redest hier von einem FTP-Download, Wolfgang will einen Upload auf seine Homepage. Bei Dir funktioniert der FTP-Download, da der Squid in dieser Richtung die Pakete natürlich durchreicht. Bei Wolfgang geht es nicht, da er ja die Gegenrichtung will und die geht z.B. mit NAT. 3. Masquerading oder NAT ist nicht vom Browser abhängig, da es eigentlich mit diesem nichts zu schaffen hat. Wichtig ist hier die Betrachtung. NAT macht ein Router oder der SLSS, während der Browser in diesem Kontext den Clienten o.ä. repräsentiert. 4. Nun etwas weniger verunsichert? Walze. -- Frank G.Walzebuck | phone: +49 30 80 944 836 Linux-Consultant | mobil: +49 163 80 94 836 Unix-Administrator | sydios it-solutions gmbh | fax: +49 30 80 944 874 Hohenzollerndamm 44 | http://www.sydios.de D-10713 Berlin / Germany | mailto: fwalzebuck@sydios.de
Hi Walze, Am Montag, 1. September 2003 10:09 schrieb Frank Gerd Walzebuck:
Nun mal langsam, liebe Leser! Wir wollen hier nichts durcheinander bringen.
a l s o g u t, m a c h e n w i r g a n z l a n g s a m ; - )
2. Dieter, Du redest hier von einem FTP-Download, Wolfgang will einen Upload auf seine Homepage. Bei Dir funktioniert der FTP-Download, da der Squid in dieser Richtung die Pakete natürlich durchreicht. Bei Wolfgang geht es nicht, da er ja die Gegenrichtung will und die geht z.B. mit NAT.
Jo, da hast du wohl recht - da habe ich wohl zu schnell gelesen. Die Missverständnisse sind dadurch entstanden, dass eben der Mozilla auf die die ftp-Seite z.B. von SuSE problemlos gelangt, beim Konqueror kann ich aber bei den Proxy-Einstellungen hineinschreiben was ich möchte - ich schaff es einfach nicht zur ftp-Seite zu kommen :-(( Weiß jemand was dort in die Proxy-Einstellungen hineingehört? Meine Einstellungen: http: http://192.168.0.5 Port 8080 (funktioniert :-) ) ftp: ftp://192.168.0.5 Port 8080 (funktioniert nicht :-( ) https: https://192.168.0.5 Port 8080 (funktioniert auch nicht :-( )
4. Nun etwas weniger verunsichert?
Aber klar doch :-) Viele Grüße Dieter
Hi Dieter,
Meine Einstellungen: http: http://192.168.0.5 Port 8080 (funktioniert :-) ) ftp: ftp://192.168.0.5 Port 8080 (funktioniert nicht :-( ) https: https://192.168.0.5 Port 8080 (funktioniert auch nicht :-( )
Bei allen drei kommt http://192.168.0.5, Port 8080 rein!!! Walze. -- Frank G.Walzebuck | phone: +49 30 80 944 836 Linux-Consultant | mobil: +49 163 80 94 836 Unix-Administrator | sydios it-solutions gmbh | fax: +49 30 80 944 874 Hohenzollerndamm 44 | http://www.sydios.de D-10713 Berlin / Germany | mailto: fwalzebuck@sydios.de
Frank Gerd Walzebuck wrote:
Hallo Wolfgang,
hat schon jemand versucht, dass er mit FTP vom Client aus ins Internet kommt?
wie Frank Wein schon so richtig schrieb, mußt Du den SLSS dazu überreden, daß er NAT macht. Aber im Gegensatz zu seiner Aussage, ist dies ausgesprochen trivial: Du startest das Yast-Kotrollzentrum und wählst "Sicherheit & Benutzer" und "Firewall". Hier konfigurierst Du anhand Deiner Gegenheiten (die Tips im linken Frame sind sehr hilfreich. Also unbedingt lesen!). Für Dich sollte der Schritt 3 entscheident sein! Hier ist "Daten weiterleiten und Masquerading" zu selektieren.
Das hatte ich mal ausprobiert: Danach ging nämlich gar nix mehr. Deswegen habe ich ein eigenes iptables-Skript geschrieben dafür. Gruß Frank
Tach,
Das hatte ich mal ausprobiert: Danach ging nämlich gar nix mehr.
is' ja nen' Ding! Bei mir geht es!
Deswegen habe ich ein eigenes iptables-Skript geschrieben dafür.
Na poste doch mal in die Liste... Da haben Alle etwas davon. Walze. -- Frank G.Walzebuck | phone: +49 30 80 944 836 Linux-Consultant | mobil: +49 163 80 94 836 Unix-Administrator | sydios it-solutions gmbh | fax: +49 30 80 944 874 Hohenzollerndamm 44 | http://www.sydios.de D-10713 Berlin / Germany | mailto: fwalzebuck@sydios.de
participants (4)
-
Dieter Kroemer -
Frank Gerd Walzebuck -
Frank Wein -
hoeferwolf@t-online.de