Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht. Läuft (nach update auf 2.4.9) auch im Grunde ganz ordentlich. Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.

iptables führt doch Buch darüber, wie viele Bytes und Pakete auf eine iptables-rule zutreffen (iptables -L -v; iptables -t nat -L -v). Wenn Du für jeden Computer in der WG eine eigene LAN->WAN und WAN -> LAN forward rule schreibst, dann müsste man doch einfach ablesen können, wie viel traffic von welchem Computer verursacht wird. (Hab' kein Rezept parat, aber diese Richtung scheint mir eine genauere Überlegung wert zu sein.)

Gibt es einen Befehl, der die Netzlast innerhalb des Netzwerkes bzw. die Last nach draußen anzeigt ?

Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ? (kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)

Naja, Du kannst einen proxy auf dem gateway einrichten und mit der Firewall die ports, auf die via proxy zugegriffen werden soll (http,...) nach aussen dicht machen. Allerdings musst Du darauf gefasst sein, dass man das Umgehen kann, wenn man es wirklich darauf anlegt. Auf der SuSE-CD ist z.B. der Proxy `squid' drauf. Alle Benutzer brauchen dann ein Passwort, um über den Proxy surfen zu können. Der Proxy muss auch in der browser-config eingestellt sein. Und der Proxy protokolliert jede aufgerufene Seite und bietet gleichzeitig einen cache, der die DSL-Last vermindern kann. [ Eine andere Möglichkeit ist ein transparenter Proxy, bei dem Anfragen, die über den gateway laufen automatisch auf ein Programm, das auf dem gateway installiert ist (den proxy) umgelenkt werden. ] Wolly

Hallo, * On Sat, Sep 15, 2001 at 11:06 AM (+0200), ich.habe.post@gmx.net wrote:

Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht.

Auch wenn das nichts mit Deinem konkreten Problem zu tun hat: viele ISPs verbieten die Nutzung insbesondere von Flatrate-Zugaengen entweder ueber Router/Proxy-Server oder aber die Nutzung durch mehr als eine Person (wie z.B. T-Online es tut).

Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.

Du koenntest einen transparenten Proxy (SQUID) aufsetzen und dann ein Tool wie http://freshmeat.net/projects/squid2mysql/ ausprobieren. Oder das IP-Masquerading komplett abschalten, dann kommt man nur noch ueber den SQUID-Proxy (der durch seine Caching-Funktionalitaeten die Leitung auch noch etwas entlasten duerfte) raus. Denn wenn Du die Firewalling-Rules fuer den transparenten Proxy z.B. so konfigurierst, dass Pakete mit Destination Port 80 an den SQUID weitergeleitet werden, koennten Deine User immer noch einen Proxy im Internet aufsetzen (oder einen bereits aufgesetzten nutzen), der auch auf andere Ports als Port 80 ansprechbar ist. Das wuerde dann von Deiner maskierenden Firewall "normal" maskiert und nach draussen geleitet werden (und vom SQUID nicht gezaehlt werden). Dasselbe Problem koenntest Du evtl. haben, wenn Du z.B. das Masquerading fuer alle Pakete aktivierst, aber fuer Pakete mit Dest.-Port 80 sperrst und Deinen Usern mitteilst, sie dass sie fuer HTTP Deinen SQUID-Proxy zu nutzen haben. Auch dann koennten sie einen Proxy im Internet nutzen, der z.B. auf Port 81 lauscht... ;-) D.h. wenn Du moechtest, dass man wirklich nur noch ueber den SQUID rauskommen kann, dann wirst Du wohl ein IP-Masquerading aus dem Router komplett verbieten muessen, womit aber andere Protokolle als die, die der SQUID beherrscht, nicht mehr funktionieren wuerden. Vielleicht waere es dann doch sicherer, das Accounting nicht via SQUID durchfuehren zu lassen...

Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ?

Hier waere SQUID natuerlich wieder ideal. Wenn Du Kontrolle ueber die Rechner Deiner User hast, waere auch ein dort laufender "identd" moeglich. Aber wenn Du keine Kontrolle ueber deren Maschinen hast, koennten die auch einen "identd" aufspielen, der dem SQUID irgend etwas Falsches mitteilt.

(kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)

Mit Hilfe der SQUID-Logfiles wohl kein Problem. Wenn Du keinen Proxy einsetzt, koenntest Du durch die Logging-Funktionalitaet der Firewalling- Routinen des Linux-Kernels zumindest die kontaktierten Server protokollieren. Aus Datenschutzgruenden wirst Du so etwas mit Deinen Mitbenutzern vorher aber unbedingt absprechen muessen! Gruss, Steffen