|
|
 | | From: | Juergen Koenig | | Subject: | Nur proxy soll =?iso-8859-1?b?/GJlcg==?= fli4l router ins Inet | | Date: | Tue, 15 Jun 2004 18:12:28 +0200 |
|
|
 | Hallo
Ich habe einen fli4l Router und dahinter einen Server mit squid als Proxy.
Nun hätte ich gerne, dass die Schüler nur über den Proxy ins Inet kommen.
Am Router müssen also alle Pakete von Rechnern, die nicht die IP des
Proxies tragen zurückgewiesen werden. Weiss einer ein opt-Paket, dass
genau diesen Anforderungen entspricht. Ich habe jetzt mehrer versucht und
7 Stunden investiert, ohne Erfolg. Hat jemand einen Vorschlag? Oder liege
ich vielleicht grundlegend falsch nach einem opt-Paket zu suchen.
Hinweis: Fli4l firewall funktioniert einwandfrei, Proxy läuft auch und
funktioniert wie gewünscht. Ich will nur verhindern, dass die Schüler
direkt über den Router rausgehen.
Ein entnervter
Juergen
|
|
| | From: | Stefan Heidrich | | Subject: | Re:_Nur_proxy_soll_über_fli4l_router_ins_Inet | | Date: | Tue, 15 Jun 2004 20:11:11 +0200 |
|
|
| Hallo Juergen,
> Ich habe einen fli4l Router und dahinter einen Server mit
> squid als Proxy. Nun hätte ich gerne, dass die Schüler
> nur über den Proxy ins Inet kommen. Am Router müssen also
> alle Pakete von Rechnern, die nicht die IP des Proxies
> tragen zurückgewiesen werden.
völlig simpel:
Du brauchst 2 Netze:
Das erste Netz hat 4 IP-Adressen (eine davon ist die Netzadresse und das
andere die Broadcastadresse). Damit sind 2 Adressen nutzbar: Der Router und
der Proxy. Dieses erste netz wird aber nur auf dem Router eingetragen.
Das zweite Netz ist dein normales Schulnetz und beinhaltet das erste Netz.
Damit haben alle Clients zugriff auf den Router und auf den Proxy, aber der
Router antwortet nicht, da er das Netz der Clients nicht kennt. Das kennt
aber der Proxy.
Beispiel:
In der Base.txt des FLI4L steht folgendes:
#---------------------------------------------------------------------------
---
# Ether networks used with IP protocol:
#---------------------------------------------------------------------------
---
IP_ETH_N='1' # number of ip ethernet networks,
usually 1
IP_ETH_1_NAME='' # optional: other device name than ethX
IP_ETH_1_IPADDR='192.168.100.254' # IP address of your n'th ethernet
card
IP_ETH_1_NETWORK='192.168.100.252' # network of your LAN
IP_ETH_1_NETMASK='255.255.255.252' # netmask of your LAN
#---------------------------------------------------------------------------
---
# Masquerading:
#---------------------------------------------------------------------------
---
MASQ_NETWORK='192.168.100.252/30' # networks to masquerade (e.g. our
LAN)
Damit das der FLI4L-Router die IP-Adresse 192.168.100.254. Damit kann er
ausschließlich von einem Rechner mit der IP 192.168.100.253 angesprochen
werden - dem Proxy.
Die Clients und der Proxy stecken in einem Netz 192.168.100.0/24. Damit
können die Clients auf den Proxy zugreifen und der Proxy auf den Router;
nicht aber die Clients auf den Router.
Funktioniert hier in der Realschule einwandfrei!
ACHTUNG: Die Sache hat einen Nachteil: Ein Mailzugriff (POP3/IMAP/SMTP) der
Clients ist damit nicht mehr möglich.
Wenn jetzt der Proxy noch ein Squid ist und auf dem Eisfair läuft kannst Du
problemlos Squidguard mitlaufen lassen. Damit ist der Zugriff auf Sex- und
Gewaltseiten auch noch recht zuverlässig gesperrt.
Viele Grüße
Stefan
--
PGP verfügbar
|
|
| | From: | Arno Grothus | | Subject: | Re: Nur proxy soll über fli4l router ins Inet | | Date: | Tue, 15 Jun 2004 20:06:10 +0200 |
|
|
| Juergen Koenig wrote:
>Hallo
>
>Ich habe einen fli4l Router und dahinter einen Server mit squid als Proxy.
>Nun hätte ich gerne, dass die Schüler nur über den Proxy ins Inet kommen.
>Am Router müssen also alle Pakete von Rechnern, die nicht die IP des
>Proxies tragen zurückgewiesen werden. Weiss einer ein opt-Paket, dass
>genau diesen Anforderungen entspricht. Ich habe jetzt mehrer versucht und
>7 Stunden investiert, ohne Erfolg. Hat jemand einen Vorschlag? Oder liege
>ich vielleicht grundlegend falsch nach einem opt-Paket zu suchen.
>Hinweis: Fli4l firewall funktioniert einwandfrei, Proxy läuft auch und
>funktioniert wie gewünscht. Ich will nur verhindern, dass die Schüler
>direkt über den Router rausgehen.
>
>Ein entnervter
>
>Juergen
Server mit 2 Netzwerkkarten ausstatten
Subnetz 1: Fli4l <----> Server
Subnetz 2: Server <----> Switch <----> Clients
Dann können die Clients nur auf den Server/Proxy zugreifen und nicht auf
den Router. Es sei denn, es ist für dich unbedingt notwendig von einem
Client direkt ins Internet zu kommen.
Arktur als Server kann sowas (und noch vieles mehr).
arktur.schul-netz.de
Gruß
Arno
|
|
| | From: | Gernot Zander | | Subject: | Re: Nur proxy soll über fli4l router ins Inet | | Date: | Tue, 15 Jun 2004 21:26:35 +0000 (UTC) |
|
|
| Hi,
in schule.lan+internet Juergen Koenig wrote:
> Ich habe einen fli4l Router und dahinter einen Server mit squid als Proxy.
> Nun hätte ich gerne, dass die Schüler nur über den Proxy ins Inet kommen.
> Am Router müssen also alle Pakete von Rechnern, die nicht die IP des
> Proxies tragen zurückgewiesen werden. Weiss einer ein opt-Paket, dass
> genau diesen Anforderungen entspricht. Ich habe jetzt mehrer versucht und
> 7 Stunden investiert, ohne Erfolg. Hat jemand einen Vorschlag? Oder liege
iptables -A INPUT -p tcp -s Server/32 -d 0.0.0.0/0 -j ACCEPT -i eth0
iptables -A INPUT -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 -j REJECT -i eth0
Dto. ggf. für UDP.
Ggf. noch mit --dport 80 dazu, was das auf WWW einschränkt.
Kannst es auch in FORWARD machen, das ist in dem Fall Schnuppe.
mfg.
Gernot
--
(Gernot Zander) www.kabelmax.de *Keine Mailkopien bitte!*
_________________
| Best view with |
|__tin (640x480)__| (nach Arnim Staschke)
|
|
|
