Fragen um squidguard.conf
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann. src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar } src kids { ip 10.0.0.0/22 # range 10.0.0.0 - 10.0.3.255 } Idealfall wäre, Zugriff ist auf die IP-Adressen 192.168.1.99-192.168.1.109 erlaubt, aber 192.168.1.96/28 wäre auch ok. Von jeder dieser IP-Adressen, dürfen 2 User nicht zugreifen. Sollte dies nicht realisierbar sein, dann frage ich mich, wie ich zB 192.168.1.107-109 ausklammere. Al
Hi, 0n 03/08/31@23:17 Al Bogner told me:
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann.
http://www.linux-magazin.de/Artikel/ausgabe/2002/08/squid/squid.html
src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar }
src kids { ip 10.0.0.0/22 # range 10.0.0.0 - 10.0.3.255 }
Idealfall wäre, Zugriff ist auf die IP-Adressen 192.168.1.99-192.168.1.109 erlaubt, aber 192.168.1.96/28 wäre auch ok. Von jeder dieser IP-Adressen, dürfen 2 User nicht zugreifen.
Schreib die 10 IPs doch in eine Gruppe.
Sollte dies nicht realisierbar sein, dann frage ich mich, wie ich zB 192.168.1.107-109 ausklammere.
und bei den 3en sollte das auch zu schaffen sein ;). -- bye maik
Al Bogner am Sonntag, 31. August 2003 23:17:
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann.
src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar }
Steht doch gerade da. Achtung, IMHO geht das "Benutzerbezogen" natürlich nur für Authentifizierung bei Squid. Der normale Benutzername auf dem jeweilig genutzten System des Hosts ist dabei egal.
src kids { ip 10.0.0.0/22 # range 10.0.0.0 - 10.0.3.255 }
Idealfall wäre, Zugriff ist auf die IP-Adressen 192.168.1.99-192.168.1.109 erlaubt, aber 192.168.1.96/28 wäre auch ok.
src MyGroup { ip 192.168.1.96/28 }
Von jeder dieser IP-Adressen, dürfen 2 User nicht zugreifen.
src NoAccess { user Name1 Name2 }
Sollte dies nicht realisierbar sein, dann frage ich mich, wie ich zB 192.168.1.107-109 ausklammere.
src NoAccessIP { ip 192.168.1.107 192.168.1.108 192.168.1.109 } Bei den Regeln sind diese Gruppennamen dann entsprechend einzusetzen. -- Gruß MaxX 8-)
At 07:25 01.09.03 +0200, Matthias Houdek wrote:
Al Bogner am Sonntag, 31. August 2003 23:17:
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann.
src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar }
Steht doch gerade da. Achtung, IMHO geht das "Benutzerbezogen" natürlich nur für Authentifizierung bei Squid. Der normale Benutzername auf dem jeweilig genutzten System des Hosts ist dabei egal.
Dann müssen sich aber alle identifizieren was bei der ZweiPort-Variante entfällt. Auf IPs kann man dafür dann aber auch ganz verzichten.
Matthias Jaenichen am Montag, 1. September 2003 08:12:
At 07:25 01.09.03 +0200, Matthias Houdek wrote:
Al Bogner am Sonntag, 31. August 2003 23:17:
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann.
src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar }
Steht doch gerade da. Achtung, IMHO geht das "Benutzerbezogen" natürlich nur für Authentifizierung bei Squid. Der normale Benutzername auf dem jeweilig genutzten System des Hosts ist dabei egal.
Dann müssen sich aber alle identifizieren was bei der ZweiPort-Variante entfällt.
Auf IPs kann man dafür dann aber auch ganz verzichten.
... und wer nicht ganz blöde ist stellt den anderen Proxy-Port in seinem Browser ein und genießt die Privilegien auch. Zumindest bei den Home-Versionen von Windows (W9x, XP-Home) dürfte das im Normalfall kein Problem sein. (Und wer beschneidet sein Windows schon mit Usereinschränkungen in der Registry? Ich hab Poledit es erst einmal in Gebrauch gesehen (außer bei eigenem Einsatz).) Trotzdem ist die Zwei-Port-Variante, möglichst über einen total abwegigen Port, nicht schlecht. Zumindest, wenn man als Admin mal einen ungefilterten Zugang braucht *g*. -- Gruß MaxX 8-)
Am Montag, 1. September 2003 12:58 schrieb Matthias Houdek:
... und wer nicht ganz blöde ist stellt den anderen Proxy-Port in seinem Browser ein und genießt die Privilegien auch. Zumindest bei den Home-Versionen von Windows (W9x, XP-Home) dürfte das im Normalfall kein Problem sein.
Hier geht es nur um Linux, das mal als Vorbemerkung.
Trotzdem ist die Zwei-Port-Variante, möglichst über einen total abwegigen Port, nicht schlecht. Zumindest, wenn man als Admin mal einen ungefilterten Zugang braucht *g*.
Konzeptionell ist mir noch nicht klar, wie man es absichert, wenn Masquerading laufen muß. Das wäre ja zu einfach, wenn man einfach den Proxy ausschaltet und schon hat man "freie Bahn". Al
Al Bogner am Montag, 1. September 2003 13:33:
[...] Konzeptionell ist mir noch nicht klar, wie man es absichert, wenn Masquerading laufen muß. Das wäre ja zu einfach, wenn man einfach den Proxy ausschaltet und schon hat man "freie Bahn".
Masquerading schaltet man natürlich ab, wenn ein Proxy läuft. Oder man beschränkt es auf die Ports, die man braucht, die aber nicht über einen Proxy laufen (können). -- Gruß MaxX 8-)
At 12:58 01.09.03 +0200, Matthias Houdek wrote:
... und wer nicht ganz blöde ist stellt den anderen Proxy-Port in seinem Browser ein und genießt die Privilegien auch.
Nun, ich zähl mich nicht zu den ganz Blöden und hab vorausgesetzt, daß der Proxy ohne PW natürlich mit Squidguard gesichert wird.
Zumindest bei den Home-Versionen von Windows (W9x, XP-Home) dürfte das im Normalfall kein Problem sein. (Und wer beschneidet sein Windows schon mit Usereinschränkungen in der Registry? Ich hab Poledit es erst einmal in Gebrauch gesehen (außer bei eigenem Einsatz).)
Wozu brauch ich da POLICIES und REGISTRY Einträge? Odr meintest Du etwas nei NTLM-Authentisierug in einen WINNT-Domäne, bei der man die Userkennung gleich weitergibt. Klappt leider nur mit MS-Proxy und IE soweit mir bekannt!
Trotzdem ist die Zwei-Port-Variante, möglichst über einen total abwegigen Port, nicht schlecht. Zumindest, wenn man als Admin mal einen ungefilterten Zugang braucht *g*.
LOL! aber ohne PW wirst du auch nicht admin und kriegst dann auch nur jugendfreies zu sehen!
Matthias Jaenichen am Montag, 1. September 2003 16:50:
At 12:58 01.09.03 +0200, Matthias Houdek wrote:
... und wer nicht ganz blöde ist stellt den anderen Proxy-Port in seinem Browser ein und genießt die Privilegien auch.
Nun, ich zähl mich nicht zu den ganz Blöden und hab vorausgesetzt, daß der Proxy ohne PW natürlich mit Squidguard gesichert wird.
Axo, das stand aber so nicht da ;-)
Zumindest bei den Home-Versionen von Windows (W9x, XP-Home) dürfte das im Normalfall kein Problem sein. (Und wer beschneidet sein Windows schon mit Usereinschränkungen in der Registry? Ich hab Poledit es erst einmal in Gebrauch gesehen (außer bei eigenem Einsatz).)
Wozu brauch ich da POLICIES und REGISTRY Einträge?
Umd den Zugriff auf die entsprechenden Einstellungen zu verhindern. OKay, ich weiß, dass auch das nicht ganz wirksam ist. Über die Hilfe kommt man an die meisten Optionen trotzdem ran.
Trotzdem ist die Zwei-Port-Variante, möglichst über einen total abwegigen Port, nicht schlecht. Zumindest, wenn man als Admin mal einen ungefilterten Zugang braucht *g*.
LOL! aber ohne PW wirst du auch nicht admin und kriegst dann auch nur jugendfreies zu sehen!
Nur, wenn dein Zusatz von oben beachtet wird. *g* BTW: Brauche ich wirklich zwei Ports? Kann man nicht alle _ohne_ Anmeldung dann über Squidguard jagen? Hm, ich hab das noch nicht probiert, aber sollte das wirklich nicht gehen? -- Gruß MaxX 8-)
At 07:25 02.09.03 +0200, Matthias Houdek wrote:
BTW: Brauche ich wirklich zwei Ports? Kann man nicht alle _ohne_ Anmeldung dann über Squidguard jagen? Hm, ich hab das noch nicht probiert, aber sollte das wirklich nicht gehen?
Hier kommt wohl erst mal Squid ins Spiel. Und wenn Du eine Anfrage an Squid schickst, prüft der das PW. Ob da ein Default-Verhalten definiert werden kann?!
Matthias Jaenichen am Dienstag, 2. September 2003 07:50:
At 07:25 02.09.03 +0200, Matthias Houdek wrote:
BTW: Brauche ich wirklich zwei Ports? Kann man nicht alle _ohne_ Anmeldung dann über Squidguard jagen? Hm, ich hab das noch nicht probiert, aber sollte das wirklich nicht gehen?
Hier kommt wohl erst mal Squid ins Spiel. Und wenn Du eine Anfrage an Squid schickst, prüft der das PW. Ob da ein Default-Verhalten definiert werden kann?!
Ich hab mal gesucht, aber nix gefunden. Entweder du arbeitest mit Authentifizierung oder eben nicht. Evtl. ließe sich noch mit einem "Gast" ohne Passwort arbeiten. Aber da ist ja trotzdem der "lästige" ;-) Anmeldedialog. Bleiben also doch nur die zwei Squid-Instanzen mit unterschiedlichen Ports. Den über Squidguard eingeschränkten würde ich dann sogar als transparenten Proxy einrichten. -- Gruß MaxX 8-)
Hi Al! Hast Du nicht ein paar zu viele Baustellen gleichzeitig? Richte Squid mit zwei Ports ein. Einer (z.B. 3129) mit vorhergehender Authentifizierung, den anderen mit Squidguard (3128). Mit TweakUI solltest Du dann in den WINDOSEN dem IE beibringen den lokalen Cache nach Gebrauch zu leeren. At 23:17 31.08.03 +0200, Al Bogner wrote:
Wenn ich mir die Standard-squidguard.conf so ansehe, dann stellt sich für mich gleich die Frage, ob man das User-bezogen konfigurieren kann.
Seit wann ist IP-Trafic userbezogen???
src grownups { ip 10.0.0.0/24 # range 10.0.0.0 - 10.0.0.255 # AND user foo bar # ident foo or bar }
src kids { ip 10.0.0.0/22 # range 10.0.0.0 - 10.0.3.255 }
Idealfall wäre, Zugriff ist auf die IP-Adressen 192.168.1.99-192.168.1.109 erlaubt, aber 192.168.1.96/28 wäre auch ok. Von jeder dieser IP-Adressen, dürfen 2 User nicht zugreifen.
Mit den 10er Adressen wird das wohl nichts... ;-)
Sollte dies nicht realisierbar sein, dann frage ich mich, wie ich zB 192.168.1.107-109 ausklammere.
Ich glaube mich zu erinnern, daß Squidguard der Regeln von oben nach unten abgrast, welche zuerst feuert bestimmt über "Sein und Nichtsein". Also erst die 107 -109 , dann den Rest. Gruß Matthias
participants (4)
-
Al Bogner
-
Maik Holtkamp
-
Matthias Houdek
-
Matthias Jaenichen