Hallo, * On Sat, Sep 15, 2001 at 11:06 AM (+0200), ich.habe.post@gmx.net wrote:
Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht.
Auch wenn das nichts mit Deinem konkreten Problem zu tun hat: viele ISPs verbieten die Nutzung insbesondere von Flatrate-Zugaengen entweder ueber Router/Proxy-Server oder aber die Nutzung durch mehr als eine Person (wie z.B. T-Online es tut).
Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.
Du koenntest einen transparenten Proxy (SQUID) aufsetzen und dann ein Tool wie http://freshmeat.net/projects/squid2mysql/ ausprobieren. Oder das IP-Masquerading komplett abschalten, dann kommt man nur noch ueber den SQUID-Proxy (der durch seine Caching-Funktionalitaeten die Leitung auch noch etwas entlasten duerfte) raus. Denn wenn Du die Firewalling-Rules fuer den transparenten Proxy z.B. so konfigurierst, dass Pakete mit Destination Port 80 an den SQUID weitergeleitet werden, koennten Deine User immer noch einen Proxy im Internet aufsetzen (oder einen bereits aufgesetzten nutzen), der auch auf andere Ports als Port 80 ansprechbar ist. Das wuerde dann von Deiner maskierenden Firewall "normal" maskiert und nach draussen geleitet werden (und vom SQUID nicht gezaehlt werden). Dasselbe Problem koenntest Du evtl. haben, wenn Du z.B. das Masquerading fuer alle Pakete aktivierst, aber fuer Pakete mit Dest.-Port 80 sperrst und Deinen Usern mitteilst, sie dass sie fuer HTTP Deinen SQUID-Proxy zu nutzen haben. Auch dann koennten sie einen Proxy im Internet nutzen, der z.B. auf Port 81 lauscht... ;-) D.h. wenn Du moechtest, dass man wirklich nur noch ueber den SQUID rauskommen kann, dann wirst Du wohl ein IP-Masquerading aus dem Router komplett verbieten muessen, womit aber andere Protokolle als die, die der SQUID beherrscht, nicht mehr funktionieren wuerden. Vielleicht waere es dann doch sicherer, das Accounting nicht via SQUID durchfuehren zu lassen...
Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ?
Hier waere SQUID natuerlich wieder ideal. Wenn Du Kontrolle ueber die Rechner Deiner User hast, waere auch ein dort laufender "identd" moeglich. Aber wenn Du keine Kontrolle ueber deren Maschinen hast, koennten die auch einen "identd" aufspielen, der dem SQUID irgend etwas Falsches mitteilt.
(kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)
Mit Hilfe der SQUID-Logfiles wohl kein Problem. Wenn Du keinen Proxy einsetzt, koenntest Du durch die Logging-Funktionalitaet der Firewalling- Routinen des Linux-Kernels zumindest die kontaktierten Server protokollieren. Aus Datenschutzgruenden wirst Du so etwas mit Deinen Mitbenutzern vorher aber unbedingt absprechen muessen! Gruss, Steffen