Hallo
Wie sperre ich möglichst einfach den Internetzugang für einen
User ohne z.B den Konqueror vollständig zu verbieten?
franz
benutzerrechte
-
lola
Re: benutzerrechte
hi!
kommt ganz drauf an wie das mit dem internet bei dir ist! wenn er sich selbst einwählt musste ihn aus der gruppe dialout kicken! ansonsten wenn du zb über nen proxy ins netz gehst musst du das mit proxyeinstellungen lösen! aber du musst uns erstmal mitteilen wie der user ins internet kommt! dann kann man weiter konkrete lösungen machen
cui
kommt ganz drauf an wie das mit dem internet bei dir ist! wenn er sich selbst einwählt musste ihn aus der gruppe dialout kicken! ansonsten wenn du zb über nen proxy ins netz gehst musst du das mit proxyeinstellungen lösen! aber du musst uns erstmal mitteilen wie der user ins internet kommt! dann kann man weiter konkrete lösungen machen
cui
-
franz
Re: benutzerrechte
Der Rechner/User ist Client in einem Lan, und geht über einen Router ins Netzwerk.
-
lola
Re: benutzerrechte
hi!
also wenn er über einen router rein geht isses ganz einfach! wenn du es mit masquerading machst kannst du ihn einfach mit iptables aussperren! wenn du über nen proxy reingehst kannst du ihn über die proxyeinstellungen sperren.
cui
also wenn er über einen router rein geht isses ganz einfach! wenn du es mit masquerading machst kannst du ihn einfach mit iptables aussperren! wenn du über nen proxy reingehst kannst du ihn über die proxyeinstellungen sperren.
cui
-
franz
Re: benutzerrechte
hey,
mit iptables kann ich bis jetzt nur den ganzen
rechner sperren, aber nicht einzelne user. ich
kann port 80 sperren, dann aber für alle user
des rechners.
mit einem proxy geht das vielleicht. ich hab
mir mal squid angeschaut, habe aber noch kein
richtig gutes howto gefunden.
danke erstmal
mit iptables kann ich bis jetzt nur den ganzen
rechner sperren, aber nicht einzelne user. ich
kann port 80 sperren, dann aber für alle user
des rechners.
mit einem proxy geht das vielleicht. ich hab
mir mal squid angeschaut, habe aber noch kein
richtig gutes howto gefunden.
danke erstmal
-
Descartes
Re: benutzerrechte
Mit IPTABLES und Co. kannst du -- wie du bemerkt hast -- nur komplette Rechner bzw. Subnetze sperren, aber nicht gezielt einen Anwender aussperren. Der setzt sich dann einfach an einen anderen Rechner, oder vergibt seinem Rechner eine andere IP Adresse und kommt trotzdem weiterhin ins Internet.
Die einzige Möglichkeit die mir gerade einfällt wäre die SQUID Lösung:
am Router:
1) alle Ports sperren (kein NAT);
2) Ausnahme: die Ports 25/tcp und 110/tcp damit deine Anwender weiterhin per SMTP+POP3 ihre Internet Emailaccounts abfragen können.
3) den SQUID Proxy installieren;
die Anwender gehen dann über den Proxy ins Internet (http, https, ftp)
Per Default richtet sich der SQUID so ein, dass KEINE Authentifizierung notwendig ist. Das solltest du ändern.
Damit du kontrollieren kannst, wer ins Internet darf und wer nicht, musst den SQUID so einrichten, dass er eine Authentifizierung (Name + Passwort) durch den Anwender verlangt.
SQUID FAQ: 9.2 How do I block specific users or groups from accessing my cache?
<a href="http://www.unix.org.ua/squid/FAQ-9.html#ss9.2" target="_blank"><!--auto-->http://www.unix.org.ua/squid/FAQ-9.html ... <!--auto-->
<blockquote><hr>
9.2 How do I block specific users or groups from accessing my cache?
...
...
Proxy Authentication
Another option is to use proxy-authentication.
1. Recompile squid with -DUSE_PROXY_AUTH=1. Uncomment USE_PROXY_AUTH in src/Makefile.
make clean
vi src/Makefile
make
make install
2. Configure proxy authentication in squid.conf.
proxy_auth /usr/local/squid/etc/passwd
passwd is an apache-style file of passwords for authenticated proxy access Looks like username:password, with the password being standard crypt() format.
3. Create the passwd file and give the passwords to your users. You can use apache's htpasswd program to generate and maintain the passwd file. The usernames in the passwd file do not need to correspond to system user names. You may give many people the same username and password combination to access your cache.
<hr></blockquote>
Authentication and Squid
<a href="http://linux.oreillynet.com/pub/a/linux ... squid.html" target="_blank"><!--auto-->http://linux.oreillynet.com/pub/a/linux ... <!--auto-->
SQUID FAQ: 23.1 How does Proxy Authentication work in Squid?
<a href="http://www.squid-cache.org/Doc/FAQ/FAQ-23.html" target="_blank"><!--auto-->http://www.squid-cache.org/Doc/FAQ/FAQ- ... <!--auto-->
SMB proxy authentication module
<a href="http://www.hacom.nl/~richard/software/smb_auth.html" target="_blank"><!--auto-->http://www.hacom.nl/~richard/software/s ... <!--auto-->
squidauth.pl -- Squid Proxy Authentication Module
<a href="http://www.tbits.org/html/squidauth.html" target="_blank"><!--auto-->http://www.tbits.org/html/squidauth.html</a><!--auto-->
Die einzige Möglichkeit die mir gerade einfällt wäre die SQUID Lösung:
am Router:
1) alle Ports sperren (kein NAT);
2) Ausnahme: die Ports 25/tcp und 110/tcp damit deine Anwender weiterhin per SMTP+POP3 ihre Internet Emailaccounts abfragen können.
3) den SQUID Proxy installieren;
die Anwender gehen dann über den Proxy ins Internet (http, https, ftp)
Per Default richtet sich der SQUID so ein, dass KEINE Authentifizierung notwendig ist. Das solltest du ändern.
Damit du kontrollieren kannst, wer ins Internet darf und wer nicht, musst den SQUID so einrichten, dass er eine Authentifizierung (Name + Passwort) durch den Anwender verlangt.
SQUID FAQ: 9.2 How do I block specific users or groups from accessing my cache?
<a href="http://www.unix.org.ua/squid/FAQ-9.html#ss9.2" target="_blank"><!--auto-->http://www.unix.org.ua/squid/FAQ-9.html ... <!--auto-->
<blockquote><hr>
9.2 How do I block specific users or groups from accessing my cache?
...
...
Proxy Authentication
Another option is to use proxy-authentication.
1. Recompile squid with -DUSE_PROXY_AUTH=1. Uncomment USE_PROXY_AUTH in src/Makefile.
make clean
vi src/Makefile
make
make install
2. Configure proxy authentication in squid.conf.
proxy_auth /usr/local/squid/etc/passwd
passwd is an apache-style file of passwords for authenticated proxy access Looks like username:password, with the password being standard crypt() format.
3. Create the passwd file and give the passwords to your users. You can use apache's htpasswd program to generate and maintain the passwd file. The usernames in the passwd file do not need to correspond to system user names. You may give many people the same username and password combination to access your cache.
<hr></blockquote>
Authentication and Squid
<a href="http://linux.oreillynet.com/pub/a/linux ... squid.html" target="_blank"><!--auto-->http://linux.oreillynet.com/pub/a/linux ... <!--auto-->
SQUID FAQ: 23.1 How does Proxy Authentication work in Squid?
<a href="http://www.squid-cache.org/Doc/FAQ/FAQ-23.html" target="_blank"><!--auto-->http://www.squid-cache.org/Doc/FAQ/FAQ- ... <!--auto-->
SMB proxy authentication module
<a href="http://www.hacom.nl/~richard/software/smb_auth.html" target="_blank"><!--auto-->http://www.hacom.nl/~richard/software/s ... <!--auto-->
squidauth.pl -- Squid Proxy Authentication Module
<a href="http://www.tbits.org/html/squidauth.html" target="_blank"><!--auto-->http://www.tbits.org/html/squidauth.html</a><!--auto-->
-
Descartes
Re: benutzerrechte
Nachtrag für Squid v2.x
SQUID FAQ: 19.6 How do I configure proxy authentication with Squid-2?
<a href="http://www.squid-cache.org/Doc/FAQ/FAQ- ... uth#ss19.6" target="_blank"><!--auto-->http://www.squid-cache.org/Doc/FAQ/FAQ- ... <!--auto-->
<blockquote><hr>
19.6 How do I configure proxy authentication with Squid-2?
For Squid-2, the implementation and configuration has changed. Authentication is now handled via external processes. Arjan's proxy auth page describes how to set it up. Some simple instructions are given below as well.
1. We assume you have configured an ACL entry with proxy_auth, for example:
acl foo proxy_auth REQUIRED
http_access allow foo
2. You will need to compile and install an external authenticator program. Most people will want to use ncsa_auth. The source for this program is included in the source distribution, in the auth_modules/NCSA directory.
% cd auth_modules/NCSA
% make
% make install
You should now have an ncsa_auth program in the same directory where your squid binary lives.
3. You may need to create a password file. If you have been using proxy authentication before, you probably already have such a file. You can get apache's htpasswd program from our server. Pick a pathname for your password file. We will assume you will want to put it in the same directory as your squid.conf.
4. Configure the external authenticator in squid.conf. For ncsa_auth you need to give the pathname to the executable and the password file as an argument. For example:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd
<hr></blockquote>
SQUID FAQ: 19.6 How do I configure proxy authentication with Squid-2?
<a href="http://www.squid-cache.org/Doc/FAQ/FAQ- ... uth#ss19.6" target="_blank"><!--auto-->http://www.squid-cache.org/Doc/FAQ/FAQ- ... <!--auto-->
<blockquote><hr>
19.6 How do I configure proxy authentication with Squid-2?
For Squid-2, the implementation and configuration has changed. Authentication is now handled via external processes. Arjan's proxy auth page describes how to set it up. Some simple instructions are given below as well.
1. We assume you have configured an ACL entry with proxy_auth, for example:
acl foo proxy_auth REQUIRED
http_access allow foo
2. You will need to compile and install an external authenticator program. Most people will want to use ncsa_auth. The source for this program is included in the source distribution, in the auth_modules/NCSA directory.
% cd auth_modules/NCSA
% make
% make install
You should now have an ncsa_auth program in the same directory where your squid binary lives.
3. You may need to create a password file. If you have been using proxy authentication before, you probably already have such a file. You can get apache's htpasswd program from our server. Pick a pathname for your password file. We will assume you will want to put it in the same directory as your squid.conf.
4. Configure the external authenticator in squid.conf. For ncsa_auth you need to give the pathname to the executable and the password file as an argument. For example:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd
<hr></blockquote>