bestimmte URL sperren über /etc/hosts
![](https://seccdn.libravatar.org/avatar/5cb579e007565aed3737cebfdb46b608.jpg?s=120&d=mm&r=g)
Hallo, da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren. Hierbei handelt es sich um eine Chat-Website für Jugendliche aus der Region, die von meinen Mitarbeitern trotz Anweisung exzessiv genutzt wird und wertvolle Arbeitskraft kostet und dazu führt, dass manchmal Arbeit liegen bleibt aber dafür alle Freunde und Bekannten des jeweiligen Mitarbeiters hinlänglich über sein Privat- und Berufsleben informiert sind :-) Nun habe ich mir folgende fiese Strategie einfallen lassen: Ich habe in der /etc/hosts für diese eine URL eine andere IP Adresse vergeben (fieserweise die Firmen-Website, hehe) und meinem NSCD gesagt, er darf die /etc/hosts nicht cachen. Die /etc/hosts hat auch nur Schreibrechte für root, also soweit sogut, selbst ein versierter Linux-Nutzer kann ohne das root-Passwort diese URL nicht wieder freigeben. Nun ist es aber so, dass diese Chat-Website einen Loadbalancer vorgeschalten hat, der auf einen zufällig ausgewählten Mirror-Server beim ersten Aufruf weiterleitet. Die Namens-Struktur der Mirror-Server ist www0.domain.com bis wwwX.domain.com. Nun will ich auch die Mirror-Server sperren, also quasi *.domain.com. Über die /etc/hosts ist das etwas schwerfällig - ich müsste also für jeden einzelnen möglichen Mirror-Server einen Eintrag vornehmen. (Wobei ich erst einmal herausfinden müsste, wieviele Mirror-Server dieser Chat-Dienst überhaupt hat) Gibt es sowas wie 123.123.123.123 *.domain.com Das funktioniert nämlich so leider nicht. Oder hat da jemand eine andere Idee...? Wie gesagt, es handelt sich nur um eine einzige Domain, mit einer hohen Anzahl Subdomains. Und dafür extra einen squid aufzusetzen mit URL-Filter ist mir zu stressig. -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Michael Herrmann schrieb:
Hallo,
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren.
Wenn es eine schriftliche Anweisung gibt ist der Fall klar und einfach. Abmahnen und im Wiederholungsfall an die Sonne setzten. Eine wie auch immer geartete wasserdichte Regelung zur Internetnutzung ist heutzutage eh Pflicht. Technisch hilft da sicher am effektivsten ein zentraler Proxy bzw. ein Router der filtern kann. Auf die schnelle würde mir da Ipcop mit Add-Ons einfallen. Ist frei nutzbar und schnell aufgesetzt. Einfach in die Leitung "hängen" und das war es dann. -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de www.comline.de Vorstand Stephan Schilling,Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/5cb579e007565aed3737cebfdb46b608.jpg?s=120&d=mm&r=g)
Hallo, Am Dienstag, 2. Oktober 2007 17:05 schrieb Ralf Prengel:
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren. Wenn es eine schriftliche Anweisung gibt ist der Fall klar und einfach. Abmahnen und im Wiederholungsfall an die Sonne setzten.
Naja, sagen wir mal so: Die private Nutzung des Internet ist in unserem Falle ausdrücklich erlaubt. Aber ich habe ein Problem damit, wenn stundenlang im regionalen Chat gechattet wird und dafür die Arbeit liegen bleibt. Da wir hier ein sehr lockeres Arbeitsverhältnis haben (für jeden Angestellten definitiv ein Traumjob hier), ist das soweit OK, bis die Arbeit nicht drunter leidet. Und die Mitarbeiter, um die es hier geht, sind eher die von der jüngeren Generation (Azubis usw).
Technisch hilft da sicher am effektivsten ein zentraler Proxy bzw. ein Router der filtern kann.
Klar, ich dachte halt an eine schnelle Lösung, die in 5 Minuten aufgesetzt ist und funktioniert. Für nen ordentlichen squid brauche ich wieder einen eigenen Rechner, eigenes Konzept usw und so fort. Der Router wäre auch ein interessanter Ansatzpunkt, nur der bereits verbaute Router kann (leider) keine Filterung von URLs pro PC, nur komplette Ports pro PC. Und ganz aussperren wollte ich meine armen Leuz ja auch nicht.
Auf die schnelle würde mir da Ipcop mit Add-Ons einfallen. Ist frei nutzbar und schnell aufgesetzt. Einfach in die Leitung "hängen" und das war es dann.
Das werde ich mir auf jeden Fall mal ansehen (heute abend z.B.). Danke für den Tipp... -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Michael Herrmann wrote:
Hallo,
Am Dienstag, 2. Oktober 2007 17:05 schrieb Ralf Prengel:
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren. Wenn es eine schriftliche Anweisung gibt ist der Fall klar und einfach. Abmahnen und im Wiederholungsfall an die Sonne setzten.
Naja, sagen wir mal so: Die private Nutzung des Internet ist in unserem Falle ausdrücklich erlaubt. Aber ich habe ein Problem damit, wenn stundenlang im regionalen Chat gechattet wird und dafür die Arbeit liegen bleibt. Da wir hier ein sehr lockeres Arbeitsverhältnis haben (für jeden Angestellten definitiv ein Traumjob hier), ist das soweit OK, bis die Arbeit nicht drunter leidet. Und die Mitarbeiter, um die es hier geht, sind eher die von der jüngeren Generation (Azubis usw).
Ein gutes Arbeitsklima kann auch bei klaren Regeln vorhanden sein. Abgesehen davon lauern bei freier Nutzung des Internets möglicherweise auch noch diverse juristische und steuerrechliche Fallstricke auf dich. Da fallen mir spontan ein: 1) geldwerter Vorteil des Internzuganges 2) alle Themen die Provider betreffen (Verbindungsdatenspeicherung etc,) 3) Was passiert wenn ein minderjähriger Azubi auf pornographische Seiten geht? Insbesondere auch die Nutzung von Email-Accounts ist ein richtig heisses Eisen. Wenn private Mails nicht verboten sind hast du echte rechtliche Probleme mit Scannen/ Archivierung und Weiterleitung. Was die Azubis angeht: Man kann es ja klar komunizieren warum es jetzt eine Regelung geben muß. Ausserdem könnte man regeln: Die private Nutzung ist grundsätzlich verboten aber Logfiles werden nur im Verdachtsfall mit einem Mitarbeitervertreter ausgewertet. Mögliche Sanktionen werden dann in Zusammenarbeit mit der Mitarbeitervertretung verhängt. Aus meiner Erfahrung als Ausbilder/ Betriebsrat kann ich nur sagen das die meisten Azubis irgendwann einmal "was auf den Latz" brauchen um die Bodenhaftung nicht zu verlieren. Danach läuft es aber in aller Regel um so besser. Man darf nicht vergessen das es sich um Heranwachsende bzw. Jungerwachsene handelt die sich noch selber suchen und definieren. gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/8e9008345205e6ee86b2e3344b5dbdbc.jpg?s=120&d=mm&r=g)
Michael Herrmann schrieb:
Hallo,
Am Dienstag, 2. Oktober 2007 17:05 schrieb Ralf Prengel:
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren.
Wenn es eine schriftliche Anweisung gibt ist der Fall klar und einfach. Abmahnen und im Wiederholungsfall an die Sonne setzten.
Naja, sagen wir mal so: Die private Nutzung des Internet ist in unserem Falle ausdrücklich erlaubt. Aber ich habe ein Problem damit, wenn stundenlang im regionalen Chat gechattet wird und dafür die Arbeit liegen bleibt. Da wir hier ein sehr lockeres Arbeitsverhältnis haben (für jeden Angestellten definitiv ein Traumjob hier), ist das soweit OK, bis die Arbeit nicht drunter leidet. Und die Mitarbeiter, um die es hier geht, sind eher die von der jüngeren Generation (Azubis usw).
Technisch hilft da sicher am effektivsten ein zentraler Proxy bzw. ein Router der filtern kann.
Klar, ich dachte halt an eine schnelle Lösung, die in 5 Minuten aufgesetzt ist und funktioniert. Für nen ordentlichen squid brauche ich wieder einen eigenen Rechner, eigenes Konzept usw und so fort. Der Router wäre auch ein interessanter Ansatzpunkt, nur der bereits verbaute Router kann (leider) keine Filterung von URLs pro PC, nur komplette Ports pro PC. Und ganz aussperren wollte ich meine armen Leuz ja auch nicht.
schnell in /etc/hosts 127.0.0.1 die.nichtgewollte.domain falls du einen localen Nameserver hast ..dann ersatzweise auch/oder dort... macht bei 1..2..3 Domainnamen Sinn .. dann wirds Irssinn (vom Aufwand her) die pfiffigen können natürlich dies Domain per IP-Nummer trotzdem aufrufen! ..also wenn jemand die IP-Nummer von zu Hause mitbringt.... man kann auch eine Firewallrule machen -> outgoing -> Drop
Auf die schnelle würde mir da Ipcop mit Add-Ons einfallen. Ist frei nutzbar und schnell aufgesetzt. Einfach in die Leitung "hängen" und das war es dann.
Das werde ich mir auf jeden Fall mal ansehen (heute abend z.B.). Danke für den Tipp...
Proxies (ipcop, smoothwall u.v.a.) machen erst "später" Sinn...machen aber bei https nur bedingt Sinn... https kann nicht gefiltert werden! evtl. die IP-Nummern als solche in der Firewall ... https geht ja am http-Proxy "vorbei".. insofern ist der /etc/hosts Ansatz gut! manche Würmer machen da ja .... umleiten per /etc/hosts ... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/5cb579e007565aed3737cebfdb46b608.jpg?s=120&d=mm&r=g)
Hallo, Am Dienstag, 2. Oktober 2007 20:34 schrieb Fred Ockert:
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren. schnell
in /etc/hosts
127.0.0.1 die.nichtgewollte.domain
Genau das hab ich ja gemacht. Mir gings ja um die zig SubDomains der Domain, wie ich die besonders effektiv sperre... -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/da398b42786e12bd805da662ccf21a2f.jpg?s=120&d=mm&r=g)
Michael Herrmann schrieb:
Hallo,
Am Dienstag, 2. Oktober 2007 20:34 schrieb Fred Ockert:
da ich ein b�ser Chef bin, m�chte ich eine ganz bestimmte URL f�r meine Mitarbeiter sperren. schnell
in /etc/hosts
127.0.0.1 die.nichtgewollte.domain
Genau das hab ich ja gemacht. Mir gings ja um die zig SubDomains der Domain, wie ich die besonders effektiv sperre...
Wäre ich an deiner Stelle kämen da nur 1 Möglichkeit in betracht. Eine Firewall die auf einem Router läufft, über den letztlich jedes Datenpaket wandert, macht alles was vom Intranet ins Internet geht prinzipiell dicht! Um dann trotzdem noch raus ins Internet zu kommen gibt es dann 2 mögliche Optionen: A) Proxy-Server B) Firewall Authentifizierung Beides ermöglicht dir 100% Kontrolle darüber von welchem Rechner und evtl. auch noch wer und wann wohin ins Netz kann. Allerdings befürchte ich das Du das nicht in 5 Minuten lösen kannst :) -- Gruß Martin _____________________________________________________________________ ::Was ist der Unterschied zwischen einem WinDAU und einem LinuxDAU?:: :::Der LinuxDAU hat Style, Geschmack und weiß das er kein Plan hat::: ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/8e9008345205e6ee86b2e3344b5dbdbc.jpg?s=120&d=mm&r=g)
Michael Herrmann schrieb:
Hallo,
Am Dienstag, 2. Oktober 2007 20:34 schrieb Fred Ockert:
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren.
schnell
in /etc/hosts
127.0.0.1 die.nichtgewollte.domain
Genau das hab ich ja gemacht. Mir gings ja um die zig SubDomains der Domain, wie ich die besonders effektiv sperre...
na vielleicht doch Firewall (?) IP ermitteln ...ist vermutlich immer die gleiche IP .... ansonsten.. jau .. Proxy reinstetzen ... IPCOP ist fast fertig zum loslaufen ..... Proxy + url-F9ilter nachinstallieren ..eintragen ... fertig. 2..3 Stunden (?) mit Download + CD brennen.. wirst wohl um Squid + Co nicht drumherumkommen.. wobei es war von einer ( = 1 ) Domain die Rede... ich denk immer noch , auch eine Subdomain ist eine Domain... fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/8e9008345205e6ee86b2e3344b5dbdbc.jpg?s=120&d=mm&r=g)
Michael Herrmann schrieb:
Hallo,
da ich ein böser Chef bin, möchte ich eine ganz bestimmte URL für meine Mitarbeiter sperren. Hierbei handelt es sich um eine Chat-Website für Jugendliche aus der Region, die von meinen Mitarbeitern trotz Anweisung exzessiv genutzt wird und wertvolle Arbeitskraft kostet und dazu führt, dass manchmal Arbeit liegen bleibt aber dafür alle Freunde und Bekannten des jeweiligen Mitarbeiters hinlänglich über sein Privat- und Berufsleben informiert sind :-)
Nun habe ich mir folgende fiese Strategie einfallen lassen: Ich habe in der /etc/hosts für diese eine URL eine andere IP Adresse vergeben (fieserweise die Firmen-Website, hehe) und meinem NSCD gesagt, er darf die /etc/hosts nicht cachen. Die /etc/hosts hat auch nur Schreibrechte für root, also soweit sogut, selbst ein versierter Linux-Nutzer kann ohne das root-Passwort diese URL nicht wieder freigeben.
Nun ist es aber so, dass diese Chat-Website einen Loadbalancer vorgeschalten hat, der auf einen zufällig ausgewählten Mirror-Server beim ersten Aufruf weiterleitet. Die Namens-Struktur der Mirror-Server ist www0.domain.com bis wwwX.domain.com. Nun will ich auch die Mirror-Server sperren, also quasi *.domain.com.
Über die /etc/hosts ist das etwas schwerfällig - ich müsste also für jeden einzelnen möglichen Mirror-Server einen Eintrag vornehmen. (Wobei ich erst einmal herausfinden müsste, wieviele Mirror-Server dieser Chat-Dienst überhaupt hat)
Gibt es sowas wie 123.123.123.123 *.domain.com
Das funktioniert nämlich so leider nicht.
Oder hat da jemand eine andere Idee...?
Wie gesagt, es handelt sich nur um eine einzige Domain, mit einer hohen Anzahl Subdomains. Und dafür extra einen squid aufzusetzen mit URL-Filter ist mir zu stressig.
na ja ... du trägst unter dem namen der domain eine andere IP-Nummer ein! /etc/hosts zusätzliche Zeile -> 127.0.0.1 die.nicht.wollende.domain.tld und schon tut er - statt erst mühsam den Nameserver zu fragen -> alles an Localhost ! meinetwegen auch die IP-Nummer von bild.de oder....... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Fred Ockert
-
Martin Parusel
-
Michael Herrmann
-
Ralf Prengel
-
rprengel