Wie beschränke ich meine Clients und sage ihnen, daß sie beschränkt wurden?
Hallo zusammen, mittlerweile habe ich es geschafft, mit Hilfe der IPCHAINS, eine /etc/fw-enemies zu implementieren. Steht natürlich ganz oben die ganze Domain microsoft.com drin. Funktioniert auch soweit. Nix mehr raus dahin, nix mehr rein von da. Wer mag, kann mein geändertes Firewallscript kriegen (für SuSE 6.2). Jetzt kommt der nächste Schritt... Wie informiere ich möglichst schockierend die Clients, daß da ein Zugriff auf diese Seite nicht geduldet wird? Natürlich gehts um http-Clients. Mit dem squid ging das ja schon ganz nett, nur, daß ich da keine benutzerdefinierte Fehlermeldung zurückschießen konnte. Der läuft aber nun nicht mehr und so soll's auch bleiben... Meine Linuxkiste ist nur ein P120 mit 48 MB RAM... Ressourcen sparen... Gibt es irgendeine trickige aber einfach zu implementierende Möglichkeit, verbotene URLs auf eine Fehlerseite des lokalen Webservers umzuleiten? Ich denke da den Internetzugang von Mobilcom. Egal, welche URL man eingibt, als erstes erscheint immer die Mobilcom Website (*NERV*). Und das ganze ohne Proxy. Zumindest von den Clienteinstellungen her. Ich bitte um zahlreiche Hints! Viele Grüße, Stefan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
mittlerweile habe ich es geschafft, mit Hilfe der IPCHAINS, eine /etc/fw-enemies zu implementieren. Steht natürlich ganz oben die ganze Domain microsoft.com drin. Funktioniert auch soweit. Nix mehr raus dahin, nix mehr rein von da.
Ist auch 'ne nette Anwendung für ipchains :-)
Wie informiere ich möglichst schockierend die Clients, daß da ein Zugriff auf diese Seite nicht geduldet wird? Natürlich gehts um http-Clients. Mit dem squid ging das ja schon ganz nett, nur, daß ich da keine benutzerdefinierte Fehlermeldung zurückschießen konnte. Der läuft aber nun nicht mehr und so soll's auch bleiben... Meine Linuxkiste ist nur ein P120 mit 48 MB RAM... Ressourcen sparen...
Dabei waren Squid und/oder Junkbuster die Sachen, die mir zuerst einfielen ... Und so schwach ist der Router ja auch nicht. Squid lohnt sich!
Gibt es irgendeine trickige aber einfach zu implementierende Möglichkeit, > verbotene URLs auf eine Fehlerseite des lokalen Webservers umzuleiten? Ich > denke da den Internetzugang von Mobilcom. Egal, welche URL man eingibt, > als erstes erscheint immer die Mobilcom Website (*NERV*). Und das ganze > ohne Proxy. Zumindest von den Clienteinstellungen her. > Ich bitte um zahlreiche Hints!
Man kann mit ipchains doch Ports umleiten. Vielleicht läßt sich das ganze so weit "aufbohren", daß es auch mit IPs funktioniert ..? ipchains -I input -s 192.168.0.0/16 -d 123.4.5.6 -p tcp -j REDIRECT 80 ipchains -C input -s 192.168.0.1 1025 -d 123.4.5.6 80 -p tcp -i ppp0 Sieht doch ganz gut aus. Dummerweise mußt Du dann auf der Indexseite Deines Browsers vorne eine Fehlermeldung oder Flames ablegen. Macht sich nicht so gut ;-) Alternativ könntest Du auf Port 901 umleiten, wenn Du swat installiert haben solltest. Naja, vielleicht auch nicht so toll ... Aber es wird sicherlich so einen popeligen Webserver geben, der nichts kann und lediglich ein paar KB Speicher verputzt. Hat jemand einen heißen Tip? Aber wozu den Aufwand? Sag doch Deinen Clients einfach, Microsoft gäbe es nicht mehr :-))) Und weil dieses (D)OS nicht mehr unterstützt wird, sollen sie am besten gleich auf Linux umstellen. BTW: Weiß jemand, ob man unter Windows dieses Programm, mit dem man über Samba Nachrichten erhalten kann, ... *Wahnsinnssatz* Kann man Winpopup so konfigurieren (Registrypatch oder ähnliches), daß es "spawnt"? Also es soll sich nicht ohne weiteres beenden lassen. Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Carsten, On Mit, 03 Nov 1999, Carsten Meyer wrote:
ipchains -I input -s 192.168.0.0/16 -d 123.4.5.6 -p tcp -j REDIRECT 80
ipchains -C input -s 192.168.0.1 1025 -d 123.4.5.6 80 -p tcp -i ppp0
Sieht doch ganz gut aus. Dummerweise mußt Du dann auf der Indexseite Deines Browsers vorne eine Fehlermeldung oder Flames ablegen. Macht sich nicht so gut ;-) Alternativ könntest Du auf Port 901 umleiten, wenn Du swat installiert haben solltest. Naja, vielleicht auch nicht so toll ... Aber es wird sicherlich so einen popeligen Webserver geben, der nichts kann und lediglich ein paar KB Speicher verputzt. Hat jemand einen heißen Tip?
Apache kann das, siehe unter <VirtualHost>. Man kann ja mehrere VirtualHosts aufsetzen, einer davon auf dem umgeleiteten Port. Dann sollte das gehen.. auf dem Server liegen dann nur Fehlermeldungen ;-) Gruß, Sebastian -- "No worries." - Rincewind. Sebastian Helms - mailto:sebastian.helms@gmx.de Registered Linux user #137247 PGP available - 5C70 0D48 70F8 2CB1 6AB7 4539 0E37 E3E1 61A7 BA87 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 03-Nov-99 Carsten Meyer wrote:
Aber es wird sicherlich so einen popeligen Webserver geben, der nichts kann und lediglich ein paar KB Speicher verputzt. Hat jemand einen heißen Tip?
Zweiter apache auf einem anderen Port z.B.? Oder eben irgendein anderer kleiner
Webserver auf einem anderen Port als 80.
---
Erhard Schwenk
Erhard Schwenk wrote:
On 03-Nov-99 Carsten Meyer wrote:
Aber es wird sicherlich so einen popeligen Webserver geben, der nichts kann und lediglich ein paar KB Speicher verputzt. Hat jemand einen heißen Tip?
Zweiter apache auf einem anderen Port z.B.? Oder eben irgendein anderer kleiner Webserver auf einem anderen Port als 80.
bei zB webmin ist ein eigener Webserver dabei, der eigentlich nichts weiter als ein Perlscript ist. minisrv.pl oder sowas in der art. Gruß Raphael Becker -- Online-Doku: http://rhb.swm.uni-mannheim.de/online-doku/index.html Gesucht - Gefunden: Linux-Anleitungen Fehlt was? Dann nix wie her mit dem URL mailto:online-doku@gmx.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Stefan Gofferje wrote:
Hallo zusammen,
Hallo Stefan!
... Wie informiere ich möglichst schockierend die Clients, daß da ein Zugriff auf diese Seite nicht geduldet wird? Wieso "moeglichst schockierend"? Was soll das bringen? Reicht es nicht, wenn Du einfach die Pakete REJECTest?
Natürlich gehts um http-Clients. Mit dem squid ging das ja schon ganz nett, nur, daß ich da keine benutzerdefinierte Fehlermeldung zurückschießen konnte. Das koennte man doch: Siehe Eintrag "deny_info" in der squid.conf.
Der läuft aber nun nicht mehr und so soll's auch bleiben... Klingt korrekt bei einer Firewall.
Meine Linuxkiste ist nur ein P120 mit 48 MB RAM... Ressourcen sparen... Tss, tss! ;-) Ich hatte squid eine Weile auf einem 486/33 mit 8MB RAM laufen. Das ging eigentlich noch recht fluffig (ausser, dass immer nur einer surfen konnte ;)).
Gibt es irgendeine trickige aber einfach zu implementierende Möglichkeit, verbotene URLs auf eine Fehlerseite des lokalen Webservers umzuleiten? Du koenntest sowas sicher auch ueber ipchains (mit REDIRECT) implementieren. Aber ich wuerde das nicht machen. Wieso die Pakete erst reinlassen, wenn sie die FW doch auch locker blocken koennte?
Ich weiss nicht, aber vielleicht kannst Du eher noch beeinflussen, mit welcher icmp-Meldung die Pakete von ipchains zurueckgeschickt werden (vielleicht "communication prohibited" oder sowas)? Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (6)
-
beckerra@rumms.uni-mannheim.de -
cmeyer@mail.com -
eschwenk@fto.de -
heiko.degenhardt@sentec-elektronik.de -
sebastian.helms@gmx.de -
stefan.gofferje@nikocity.de