Zugriffsbeschränkung für das Inet?
Hallo Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager? Danke Frank
Am Samstag, 1. Januar 2005 19:36 schrieb Michael Schachtebeck:
Am 01/01/2005 07:20 PM schrieb Frank Noack:
Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
iptables.
Also wenn die Lösung so klein wie die Antwort ist, dann ist sie gut. Ich bin nicht der Iptables-Crack, vielleicht kannst du ein oder zwei Stichworte mehr geben? Frank
Am 01/01/2005 07:52 PM schrieb Frank Noack:
Also wenn die Lösung so klein wie die Antwort ist, dann ist sie gut. Ich bin nicht der Iptables-Crack, vielleicht kannst du ein oder zwei Stichworte mehr geben?
Beispiel: Du möchtest für den Rechner 10.10.10.69 den Zugriff auf www.domain.tld sperren. Dann benötigst Duz auf dem Router die folgende iptables Regel: iptables -A FORWARD -s 10.10.10.69 -d www.domain.tld -j REJECT Allerdings verwendet man idealerweise IP-Adresse anstatt Hostnamen (aus Sicherheitsgründen). Du kannst die Regeln übrigens so erweitern, daß sie nur für bestimmte Protokolle (TCP, UDP, ...) gelten, oder nur für bestimmte Quell- oder Zielports. Mehr dazu in der manpage zu iptables. Eine google-Suche liefert Dir bestimmt auch einen Haufen How-Tos für iptables. MfG, Michael.
Am Samstag, 1. Januar 2005 20:23 schrieb Michael Schachtebeck:
Am 01/01/2005 07:52 PM schrieb Frank Noack:
Also wenn die Lösung so klein wie die Antwort ist, dann ist sie gut. Ich bin nicht der Iptables-Crack, vielleicht kannst du ein oder zwei Stichworte mehr geben?
Beispiel:
Du möchtest für den Rechner 10.10.10.69 den Zugriff auf www.domain.tld sperren. Dann benötigst Duz auf dem Router die folgende iptables Regel:
iptables -A FORWARD -s 10.10.10.69 -d www.domain.tld -j REJECT
Allerdings verwendet man idealerweise IP-Adresse anstatt Hostnamen (aus Sicherheitsgründen).
Du kannst die Regeln übrigens so erweitern, daß sie nur für bestimmte Protokolle (TCP, UDP, ...) gelten, oder nur für bestimmte Quell- oder Zielports. Mehr dazu in der manpage zu iptables.
Eine google-Suche liefert Dir bestimmt auch einen Haufen How-Tos für iptables.
Danke, damit kann ich auf die Schnelle reagieren. Frank
Am Samstag, 1. Januar 2005 19:20 schrieb Frank Noack:
Hallo
Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
Was hast du gegen Squid einzuwenden? In Verbindung mit Squidguard eine prima Lösung, da auch sehr flexibel in der Beschreibung der Filter. Alternativ wäre die Pflege entsprechender iptables-Einträge möglich. Du müsstest dazu alle unerwünschten Adressen für das forwarding sperren oder auf eine lokale Sperrseite umleiten. DNS-Namen sind möglich, aber keine Konstrukte z.B. mit RegEx wie bei Squidguard. Handhabbar wäre das wohl eher in der Art, dass nur einige wenige Zieladressen erlaubt sind. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Samstag, 1. Januar 2005 20:09 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 19:20 schrieb Frank Noack:
Hallo
Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
Was hast du gegen Squid einzuwenden? In Verbindung mit Squidguard eine prima Lösung, da auch sehr flexibel in der Beschreibung der Filter.
Habe ich gesehen, ist aber sehr umfangreich bei der Konfiguration. Habe ich Respekt vor, da ich meinen Rechner nicht unbedingt öffnen will. Ansonsten finde ich Squidguard schon nicht schlecht. Aber das ganze Konstrukt wirkt sehr groß... Aber mal sehen. Frank
Am Samstag, 1. Januar 2005 20:41 schrieb Frank Noack:
Am Samstag, 1. Januar 2005 20:09 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 19:20 schrieb Frank Noack:
Hallo
Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
Was hast du gegen Squid einzuwenden? In Verbindung mit Squidguard eine prima Lösung, da auch sehr flexibel in der Beschreibung der Filter.
Habe ich gesehen, ist aber sehr umfangreich bei der Konfiguration. Habe ich Respekt vor, da ich meinen Rechner nicht unbedingt öffnen will.
Was meinst du jetzt mit "öffnen"? Squid lauscht an den NICs und auf den IP-Adressen, die du ihm einstellst.
Ansonsten finde ich Squidguard schon nicht schlecht. Aber das ganze Konstrukt wirkt sehr groß... Aber mal sehen.
Wenn es dir angenehmer ist, für _jeden_ Rechner, der im Netz nicht
erreichbar sein soll, folgende Zeile zu tippen:
/sbin/iptables -A -d
Am Samstag, 1. Januar 2005 22:26 schrieb Matthias Houdek:
um _alle_ Domains mit den aufeinanderfolgenen Buchstaben "sex", "porn" und/oder "porno" zu sperren. Gut, dabei fällt auch "www.rotationsexperiment.de" raus, aber da ich nicht mal weiß, ob es diese Seite gibt, ist mir das relativ egal ;-)
Nun gut, das Rotatoinsexperiment ist sicher nicht soo wichtig, aber was ist mit dem vielgepriesenen Staatsexamen??? Gerade Uni-Admins sollten SEX deshalb aus solchen Filterlisten besser raushalten ;) -- Geisterfahrer sind oft sehr entgegenkommend! best regards, kuDDel Stephan Chudowski
Am Samstag, 1. Januar 2005 22:38 schrieb Stephan Chudowski:
Am Samstag, 1. Januar 2005 22:26 schrieb Matthias Houdek:
um _alle_ Domains mit den aufeinanderfolgenen Buchstaben "sex", "porn" und/oder "porno" zu sperren. Gut, dabei fällt auch "www.rotationsexperiment.de" raus, aber da ich nicht mal weiß, ob es diese Seite gibt, ist mir das relativ egal ;-)
Nun gut, das Rotatoinsexperiment ist sicher nicht soo wichtig, aber was ist mit dem vielgepriesenen Staatsexamen??? Gerade Uni-Admins sollten SEX deshalb aus solchen Filterlisten besser raushalten ;)
... oder man ergänzt mit Positiv-Listen. Es war halt nur ein Beispiel. Und die Begriffe, die trotzdem in Domainnamen vorkommen dürfen (also vor dem ersten Slash), dürften überschaubar bleiben. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Samstag, 1. Januar 2005 22:26 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 20:41 schrieb Frank Noack:
Am Samstag, 1. Januar 2005 20:09 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 19:20 schrieb Frank Noack:
Hallo
Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
Was hast du gegen Squid einzuwenden? In Verbindung mit Squidguard eine prima Lösung, da auch sehr flexibel in der Beschreibung der Filter.
Habe ich gesehen, ist aber sehr umfangreich bei der Konfiguration. Habe ich Respekt vor, da ich meinen Rechner nicht unbedingt öffnen will.
Was meinst du jetzt mit "öffnen"?
Squid lauscht an den NICs und auf den IP-Adressen, die du ihm einstellst.
Du meinst, ich könnte für den Anfang die "Grundconfig" von Suse übernehmen und nur die Einstellungen für Squidguard ändern? Ich bin mir nämlich nicht sicher, ob ich wirklich einen Cache einrichten will und was Squid alles noch so mitbringt. Eigentlich reicht mir die Filterfunktion. Kann ich Squid auf meinem Rechner installieren und er merkt das die Anfrage vom Client kommt, trotz Maquerading und Forwarding?
Ansonsten finde ich Squidguard schon nicht schlecht. Aber das ganze Konstrukt wirkt sehr groß... Aber mal sehen.
Nee, ich meinte Squid + Squidguard
Wenn es dir angenehmer ist, für _jeden_ Rechner, der im Netz nicht erreichbar sein soll, folgende Zeile zu tippen:
Aber ich bin schon fast unterwegs. ;-))
Am Sonntag, 2. Januar 2005 01:46 schrieb Frank Noack:
Am Samstag, 1. Januar 2005 22:26 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 20:41 schrieb Frank Noack:
Am Samstag, 1. Januar 2005 20:09 schrieb Matthias Houdek:
Am Samstag, 1. Januar 2005 19:20 schrieb Frank Noack:
Hallo
Erst mal zu meiner Situation. Ich habe einen Rechner, der per DSL am Inet hängt. Der zweite mit ihm vernetzte greift per Maskierung und Forwarding über diese DSL-Verbindung auf des Netz zu. Jetzt möchte ich gerne _nur_ für den zweiten Rechner eine Zugriffsbeschränkung auf eher Adressen als Inhalte realisieren. Nach meinem jetzigen Wissen könnte ich dazu Squid nehmen. Scheint mir aber ein bischen wie Kanonen auf Spatzen. Habe ihr vielleicht einen etwas kleineren Helfer für meine Idee auf Lager?
Was hast du gegen Squid einzuwenden? In Verbindung mit Squidguard eine prima Lösung, da auch sehr flexibel in der Beschreibung der Filter.
Habe ich gesehen, ist aber sehr umfangreich bei der Konfiguration. Habe ich Respekt vor, da ich meinen Rechner nicht unbedingt öffnen will.
Was meinst du jetzt mit "öffnen"?
Squid lauscht an den NICs und auf den IP-Adressen, die du ihm einstellst.
Du meinst, ich könnte für den Anfang die "Grundconfig" von Suse übernehmen und nur die Einstellungen für Squidguard ändern? Ich bin mir nämlich nicht sicher, ob ich wirklich einen Cache einrichten will und was Squid alles noch so mitbringt. Eigentlich reicht mir die Filterfunktion. Kann ich Squid auf meinem Rechner installieren und er merkt das die Anfrage vom Client kommt, trotz Maquerading und Forwarding?
Nicht ganz. Es gibt zwei Betriebsarten für einen Proxy: normal und transparent. Normal muss er auf jedem Client als Proxy angegeben werden. Die Anfragen gehen damit direkt an den Proxy und das Forwarding wird ignoriert. Der Proxy selbst stellt dann ja die Anfrage in das Internet (als "Stellvertreter" für den Client). Du kannst also Forwarding und NAT/Masquerading abschalten - wenn du es nicht noch für andere Dienste brauchst. Im transparenten Modus musst du die Forwarding-Regel ändern. Anfragen an das Internet werden dann nicht direkt weitergeleitet, sondern an den Proxy umgebogen (der dann wiederum als "Stellvertreter" ...). Vorteil: Die Clients kriegen von alledem nix mit.
Ansonsten finde ich Squidguard schon nicht schlecht. Aber das ganze Konstrukt wirkt sehr groß... Aber mal sehen.
Nee, ich meinte Squid + Squidguard
Klar, Squidguard ohne Squid geht ja auch nicht. Squid schickt die angefragte URL vor dem weiterleiten durch den Squidguard zur Prüfung. Der liefert die URL zurück (wenn OK) oder schickt statt dessen eine "Fehler-URL" zurück (auf der Seite kann dann eine entsprechende Meldung platziert sein). Übrigens, die Standardkonfiguration von SuSE braucht man nicht großartig abzuändern. Nur ein paar kleine Anpassungen, und Anleitungen dazu sollten sich massig im Internet finden lassen.
Wenn es dir angenehmer ist, für _jeden_ Rechner, der im Netz nicht erreichbar sein soll, folgende Zeile zu tippen:
Aber ich bin schon fast unterwegs. ;-))
??? -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
participants (4)
-
Frank Noack -
Matthias Houdek -
Michael Schachtebeck -
Stephan Chudowski