Hallo,
ich habe den Squid installiert, läuft auch alles, aber die clients sollen ssh benutzen können,
damit sie auch zu hause auf ihre server kommen.
Wie gebe ich in Squid den Port 23 (SSH) für das gesamte netzwerk frei?
Port 23 in Squid freigeben?
Port 23 in Squid freigeben?
Gruß
Christian
Christian
Re: Port 23 in Squid freigeben?
SSH geht mit squid nicht, squid ist ein proxy für "nur" http und ftp.
Für SSH und andere Dienste ist es am einfachsten, Masquerading zu aktivieren (ist es ein router für DSL/ISDN/Modem ?). Das geht so:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Wobei Du ppp0 durch das Masquerading-Device ersetzen mußt. Bei DSL ist dieses meistens ppp0, bei ISDN meist ippp0.
Für DSL empfiehlt sich außerdem noch folgender Befehl:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ohne diesen sind evtl. einige Server nicht erreichbar. Mehr dazu in der SuSE Supportdatenbank, Stichwort MTU.
Für SSH und andere Dienste ist es am einfachsten, Masquerading zu aktivieren (ist es ein router für DSL/ISDN/Modem ?). Das geht so:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Wobei Du ppp0 durch das Masquerading-Device ersetzen mußt. Bei DSL ist dieses meistens ppp0, bei ISDN meist ippp0.
Für DSL empfiehlt sich außerdem noch folgender Befehl:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ohne diesen sind evtl. einige Server nicht erreichbar. Mehr dazu in der SuSE Supportdatenbank, Stichwort MTU.
Re: Port 23 in Squid freigeben?
*räusper*
ssh-Standardport ist 22
Hinter 23 steckt, neben jede Menge paranoide Storys, nur der telnet-daemon
Max
ssh-Standardport ist 22
Hinter 23 steckt, neben jede Menge paranoide Storys, nur der telnet-daemon
Max
Re: Port 23 in Squid freigeben?
JO, stimmt, also das mit telnet 22 und ssh 23.
trotzdem brauche ich (nicht privat) diesen blöden squid.
Oder kann ich auch beim masquerading eine blacklist anlegen, in der namen stehen, wie z.b fuck.....
wenn die in einer adresse enthalten sind. zb. www.fuck.me.de - das diese page dann nicht funzt.
Das Lan ist ja schließlich in einer Schule (Realschule) und unser director möchte halt nicht dass diese pages funz'n.
Jedoch soll SSH laufen, damit der Server im Intet zu administrieren ist.
trotzdem brauche ich (nicht privat) diesen blöden squid.
Oder kann ich auch beim masquerading eine blacklist anlegen, in der namen stehen, wie z.b fuck.....
wenn die in einer adresse enthalten sind. zb. www.fuck.me.de - das diese page dann nicht funzt.
Das Lan ist ja schließlich in einer Schule (Realschule) und unser director möchte halt nicht dass diese pages funz'n.
Jedoch soll SSH laufen, damit der Server im Intet zu administrieren ist.
Gruß
Christian
Christian
Re: Port 23 in Squid freigeben?
Da fällt mir doch was ein.
Kann ich den router nicht nur auf port 22 beschränken, sodass alles andere an den proxy weiter geht?
Kann ich den router nicht nur auf port 22 beschränken, sodass alles andere an den proxy weiter geht?
Re: Port 23 in Squid freigeben?
Das mag jetzt arrogant klingen, ist es aber nicht.
Du solltest keinen Linux-Proxy oder Firewall aufsetzen.
Deine Fragen zeigen das du keine Ahnung hast von dem was du tust.
sorry
Bitte lese erst Literatur, Zeitschriften und man-Pages.
Gucke dir die OSI-Layer an.
Aber soviel zu deiner Frage, auch wenn ich mich gar nicht mit iptable auskenne (bin gerade dabei):
Ja, man könnte auch diverse IP-Räume auf andere Adressen umlenken. Z.B. auf den lokalen Webserver, oder
hierin:
<a href="http://www.ruhr-uni-bochum.de/www-rz/zo ... aessig.htm" target="_blank"><!--auto-->http://www.ruhr-uni-bochum.de/www-rz/zo ... <!--auto-->
(mein persönlicher Favorit)
Man kann aber auch Zugriffkontrolle mittels Proxy betreiben. Also den Zugriff der User einschränken, bestimmte Seiten ausblenden usw...
Es gibt da jede Menge Sachen die auf Squid aufbauen.
Einfach mal googeln.
Aber...
... meine Meinung nach ist das totaler Blödsinn.
Wer will die Liste mit den zu sperrenden Seiten Pflegen?
Wer sorgt dafür das die Schüler keine anderen Proxy angeben und somit alles umschiffen?
Entweder Benutzung nur unter Aufsicht oder man kann es gleich vergessen.
Aber das ist nur IMHO...
Gruss Max
Du solltest keinen Linux-Proxy oder Firewall aufsetzen.
Deine Fragen zeigen das du keine Ahnung hast von dem was du tust.
sorry
Bitte lese erst Literatur, Zeitschriften und man-Pages.
Gucke dir die OSI-Layer an.
Aber soviel zu deiner Frage, auch wenn ich mich gar nicht mit iptable auskenne (bin gerade dabei):
Ja, man könnte auch diverse IP-Räume auf andere Adressen umlenken. Z.B. auf den lokalen Webserver, oder
hierin:
<a href="http://www.ruhr-uni-bochum.de/www-rz/zo ... aessig.htm" target="_blank"><!--auto-->http://www.ruhr-uni-bochum.de/www-rz/zo ... <!--auto-->
(mein persönlicher Favorit)
Man kann aber auch Zugriffkontrolle mittels Proxy betreiben. Also den Zugriff der User einschränken, bestimmte Seiten ausblenden usw...
Es gibt da jede Menge Sachen die auf Squid aufbauen.
Einfach mal googeln.
Aber...
... meine Meinung nach ist das totaler Blödsinn.
Wer will die Liste mit den zu sperrenden Seiten Pflegen?
Wer sorgt dafür das die Schüler keine anderen Proxy angeben und somit alles umschiffen?
Entweder Benutzung nur unter Aufsicht oder man kann es gleich vergessen.
Aber das ist nur IMHO...
Gruss Max
-
Chriss
Re: Port 23 in Squid freigeben?
Hmm, danke schön ;(
nene, beleidigt bin ich nicht, und meine idee ist auch wirklich sehr merkwürdig.
Aber der Squid ist schon soweit eingerichtet.
Er geht auf keine Seite mit perversem inhalt, seidenn da kommen solche wie ich,
die nen eigenen server im netz haben, und leiten sich ihre domain auf eine xyz um.
Naja, aber so schlau sind andere bei mir auf der schule nicht, jahrgang 9 kennt sich nochnicht mal mit html aus - niemand bei uns so wie ich festellte.
Die würden also nie auf so eine idee kommen.
Axo, und unser Direktor wertet auch noch die logfiles aus - welche seite wann von welchem user.
Totale spinnerei, aber es durfte auch schonmal einer die rechnung zahlen - bekam aber später schadensersatz, weil es kein gesetz an unserer schule gibt, dass man nicht auf siese seiten darf.
Irgendwelche 0190 tools funzen übers lan doch eh nicht, also ..... naja, lehrer - jedenfalls unsere.
nene, beleidigt bin ich nicht, und meine idee ist auch wirklich sehr merkwürdig.
Aber der Squid ist schon soweit eingerichtet.
Er geht auf keine Seite mit perversem inhalt, seidenn da kommen solche wie ich,
die nen eigenen server im netz haben, und leiten sich ihre domain auf eine xyz um.
Naja, aber so schlau sind andere bei mir auf der schule nicht, jahrgang 9 kennt sich nochnicht mal mit html aus - niemand bei uns so wie ich festellte.
Die würden also nie auf so eine idee kommen.
Axo, und unser Direktor wertet auch noch die logfiles aus - welche seite wann von welchem user.
Totale spinnerei, aber es durfte auch schonmal einer die rechnung zahlen - bekam aber später schadensersatz, weil es kein gesetz an unserer schule gibt, dass man nicht auf siese seiten darf.
Irgendwelche 0190 tools funzen übers lan doch eh nicht, also ..... naja, lehrer - jedenfalls unsere.
Re: Port 23 in Squid freigeben?
darum geht es nicht. Ob ihr euch Dialer einfängt juckt mich nicht.
Es geht darum das falsch konfigurierte Proxys und Firewalls für Schaden sorgen und zwar bei uns allen.
Was meinst du worüber der Großteil der Spam herkommt?
Richtig, Proxys in Schulen aus Korea wurden z.B. dazu genutzt um dem Müll abzuladen.
Aber auch Proxy in Brasilien und anderswo. Sorgen für nette Spamwellen.
Wenn die Kiste genutzt wird zum Tausch von KiPo, oder von dort aus andere Kisten gehackt werden...
sage nicht das du von nichts gewußt hast.
Nichts für ungut.
Gruß Max
(Wie war das mit dem einäugigen König unter den Blinden?? ;<!--no-->-)
Es geht darum das falsch konfigurierte Proxys und Firewalls für Schaden sorgen und zwar bei uns allen.
Was meinst du worüber der Großteil der Spam herkommt?
Richtig, Proxys in Schulen aus Korea wurden z.B. dazu genutzt um dem Müll abzuladen.
Aber auch Proxy in Brasilien und anderswo. Sorgen für nette Spamwellen.
Wenn die Kiste genutzt wird zum Tausch von KiPo, oder von dort aus andere Kisten gehackt werden...
sage nicht das du von nichts gewußt hast.
Nichts für ungut.
Gruß Max
(Wie war das mit dem einäugigen König unter den Blinden?? ;<!--no-->-)
-
Chriss
Re: Port 23 in Squid freigeben?
hehe - einäugiger Kö......
Hmm, und was rätst du mir jetzt zu tun?
Woher bekomme ich denn eine Config die das nicht erlaubt?, bze was soll ich da reinschreiben?
Bei mir zu Hause habe ich ja auch Masquerading und keinen Proxy, allein schon wegen dsl.
Aber was soll ich denn dann deiner Meinung nach in der Schule anders machen?
Gruss Christian
Hmm, und was rätst du mir jetzt zu tun?
Woher bekomme ich denn eine Config die das nicht erlaubt?, bze was soll ich da reinschreiben?
Bei mir zu Hause habe ich ja auch Masquerading und keinen Proxy, allein schon wegen dsl.
Aber was soll ich denn dann deiner Meinung nach in der Schule anders machen?
Gruss Christian
Re: Port 23 in Squid freigeben?
In der Standard-Konfiguration sind vermutlich bei allen Distributoren der Squid sicher konfiguriert (wobei ich wirklich nicht alle kenne).
Die Gefahr entsteht wenn man ohne Ahnung anfängt an der Konfig rumzubasteln.
Besorge dir Software die sich auf deinen Einsatzweck spezialisiert hat.
Z.B. Mandrake SNF (gibt es die überhaupt noch?) Suse hat ein Firewall Produkt. SE Linux, Bastille usw.
Klar kann man auch da Mist bauen, aber die sind für einen solchen Einsatz da, IMHO einfach zu bedienen und wenn du jetzt noch weißt das ein Proxy nichts anderes macht als HTTP und FTP Anforderungen anzunehmen und "stellvertretend" für den Client die Anfragen an den Ziel Web/FTP-Server weiterzureichen, hast du schon wieder was gelernt.
Ein Feature, von vielen, ist z.B. das Squid noch die Antworten, sprich HTML-Seiten, cachet und somit Bandbreite spart und Geschwindigkeit bringt (nicht immer).
Wenn du per SSH nicht rauskommst, dann weil evt. dein Router kein NAT macht. Es könnte aber auch sein das er einfach nur den Port gesperrt hat. Es gibt viele Möglickeiten.
Squid interessiert sich aber einfach nicht dafür was auf anderen Ports läuft.
Also schnapp dir jemanden der das schonmal gemacht hat, oder du schnappst dir ein paar Bücher und liest.
Dann besorgst du dir mal ein paar spezielle Distributionen und guckst dir diese an (installieren, testen).
Irgendwann kannst du das ganz einfach aufsetzen ohne Riesenlöcher ins System zu reissen.
Gruss Max
Die Gefahr entsteht wenn man ohne Ahnung anfängt an der Konfig rumzubasteln.
Besorge dir Software die sich auf deinen Einsatzweck spezialisiert hat.
Z.B. Mandrake SNF (gibt es die überhaupt noch?) Suse hat ein Firewall Produkt. SE Linux, Bastille usw.
Klar kann man auch da Mist bauen, aber die sind für einen solchen Einsatz da, IMHO einfach zu bedienen und wenn du jetzt noch weißt das ein Proxy nichts anderes macht als HTTP und FTP Anforderungen anzunehmen und "stellvertretend" für den Client die Anfragen an den Ziel Web/FTP-Server weiterzureichen, hast du schon wieder was gelernt.
Ein Feature, von vielen, ist z.B. das Squid noch die Antworten, sprich HTML-Seiten, cachet und somit Bandbreite spart und Geschwindigkeit bringt (nicht immer).
Wenn du per SSH nicht rauskommst, dann weil evt. dein Router kein NAT macht. Es könnte aber auch sein das er einfach nur den Port gesperrt hat. Es gibt viele Möglickeiten.
Squid interessiert sich aber einfach nicht dafür was auf anderen Ports läuft.
Also schnapp dir jemanden der das schonmal gemacht hat, oder du schnappst dir ein paar Bücher und liest.
Dann besorgst du dir mal ein paar spezielle Distributionen und guckst dir diese an (installieren, testen).
Irgendwann kannst du das ganz einfach aufsetzen ohne Riesenlöcher ins System zu reissen.
Gruss Max
Re: Port 23 in Squid freigeben?
Also:
Warum sollte das mit Squid nicht klappen ?
Wenn es kein Masquerading gibt, können die Schüler auch keinen anderen Proxy angeben. Ein proxy außerhalb des Schulnetztes wäre ja nicht erreichbar. Ich halte das technisch gesehen nicht für Unsinn. Eine Blacklist zu führen halte ich grundsätzlich für Unsinn, aber ich kann mir den Schuldirektor schon vorstellen ...
Es ist nur sehr wichtig, daß von außerhalb niemand Zugriff auf den proxy bekommt. Das läßt sich sehr leicht realisieren durch Sperrung des ports 3128 für IPs außerhalb des Schulnetzes.
SSH mit iptables durchzuleiten müßte prinzipiell gehen. Wie genau soll das funktionieren ? Sollen Schüler auf Rechner außerhalb zugreifen ? Oder ein Rechner für z. B. einen Lehrer, der nach draußen "telefoniert" ?
Warum sollte das mit Squid nicht klappen ?
Wenn es kein Masquerading gibt, können die Schüler auch keinen anderen Proxy angeben. Ein proxy außerhalb des Schulnetztes wäre ja nicht erreichbar. Ich halte das technisch gesehen nicht für Unsinn. Eine Blacklist zu führen halte ich grundsätzlich für Unsinn, aber ich kann mir den Schuldirektor schon vorstellen ...
Es ist nur sehr wichtig, daß von außerhalb niemand Zugriff auf den proxy bekommt. Das läßt sich sehr leicht realisieren durch Sperrung des ports 3128 für IPs außerhalb des Schulnetzes.
SSH mit iptables durchzuleiten müßte prinzipiell gehen. Wie genau soll das funktionieren ? Sollen Schüler auf Rechner außerhalb zugreifen ? Oder ein Rechner für z. B. einen Lehrer, der nach draußen "telefoniert" ?