Internet zugriff mit squid beschränken

Schau dir mal "acl aclname proxy_auth" und "authenticate_program" in der squid.conf an. Damit funktioniert das Anmelden mit Benutzername und Passwort.

Zitat von bimbo

Folgendes:

Ich bin admin in einem kleinen studentenheim,es laufen alle www- Anfragen über den squid, sprich alles was an port 80 geht wird an den squid geleitet, und der übernimmt den rest.
Jeder nutzer sollte sich bei mir melden, ich erstell dann einen account am server, was notwendig ist für drucken, usw...
wenn jemand seinen rechner ins netz hängen will, sollte der auch zu mir kommen, damit seine mac adresse ins dhcp eingetragen wird, der übersichtlichkeit halber wird jeder mac adresse immer die gleiche IP zugewiesen.

da das aber nicht funktioniert(niemand meldet sich, da man das ww auch ohne gültige IP/benutezrnamen verwenden kann) hätt ich gern, dass ich die benuter authentifizieren müssen, wenn sie ins www wollen.
dabei soll überprüft werden, ob benutezrname und kennwort passen, und weiters, ob die IP adresse aus dem dhcp.conf ist.

lg, flo

Ja für SQUID Auth gabs ja schon die Antwort.
Und wegen dem Problem mit den MAC Adressen.
Ich wuerd defaultmaessig alles sperren und mir per skripts eine dhcpd.conf bzw iptables regeln generieren lassen, die packet von dieser mac adresse aus zulassen (gibts ein modul dafür). default regel halt auf DENY. bietet halt nach wie vor keinen 100% schutz, da man die MAC Adresse ja auch aendern kann, aber zumindest wirds fuer einen User schwieriger, da er ja die gueltigen MAC Adressen nicht kennt.

Alternativ koenntest natuerlich eine PPTP Verbindung aufbauen und eine IP Adresse aus einem anderen privaten Netz zuweisen (zb ueber DHCP 192.168.x.x verteilen und fuer User die Internet Zugriff haben sollen 172.16.x.x). Diese 172.16.x.x Adressen nat'est du dann entweder raus bzw erlaubst den Zugriff auf den Proxy. Damit wuerdest du dir auch die SQUID Authentifizierung ersparen, da du ja nur Zugriff von 172.16.x.x auf den Proxy zulaesst.

Ich hoffe es war halbwegs verstaendlich was ich grad von mir gegeben habe

also, was die Auth am Squid angeht - ist es bereits erklärt worden...

meine lösung ( jetzt die "alte" ) ist - im dhcp server trägst du die MAC adressen für die rechner und somit gibst du jedem rechner eine fixe IP adresse. Für die unbekannten rechner brauchst du einen Subnetz eintrag. Die bekannten rechner ( mit MAC Adresse ) bekommen zB 172.16.x.x, und die unbekannten 172.17.x.x ( du kannst auch die C Klasse verwenden, aber es kommt drauf an, wieviele Rechner im Netz sind )... im squid.conf müssen noch einige acl einträge erstellt werden. zuerst wird der zugriff für die rechner im Netz 172.16.x.x erlaubt ( ALLOW ), dann ein eintrag für das netz 172.17.x.x ( DENY ) und die restlichen ( DENY ALL )... somit ist das Problem gelöst.. es gibt leider einen Bug.. wenn man die IP adresse am rechner manuell einstellt kommt man auch ins netz ( bzw. zum Anmeldefenster von Squid )... um zu verhindern dass die neuen benutzer diesen trick ausnutzen, nimmt man zB für die authorisierten rechner ein B netz, und für die neuen einfach ein C netz, damit sie nicht sofort herausbekommen welche IP Range ins netz kann...

2 Möglichkeit ist die MAC Filterung was meiner meinung nach sehr schlecht ist. Man braucht nur ein datenpaket abfangen, die MAC adresse des authorisierten Rechners auszulesen und dann eigene MAC adresse ändern.. ist nur eine Arbeit von 10 minuten, und funktioniert auch in geswitchen netzen...

3 Möglichkeit ist eine zentrale Benutzerverwaltung mit LDAP... diese ist aber sehr aufwendig ( arbeite selbst an diesem system )...

Greetz...

Zitat von bimbo

danke mal für den tip mit dem subnetz, wwerd das mal probeiren. an LDAP bin ich auch schon dran, aber da hab ich noch keine ahnung, un ich würd die authentifizierung, gern bald haben.
lg, bimbo

ldap ist nicht wirklich schwierig. ich administrier damit schon ein netz sowohl windows nt clients (ueber samba) und alle unix server und unix workstations haengen auf dem server. auch die firewall regeln und mail aliases sind im ldap gespeichert...