Hallo an alle,

ich habe ein Problem!!!

meine Konfiguration: Windows-Clients(2000,XP)
Server linux suse 9.0, DSL Zugang über SuSEfirewall2, bind 9 )


Ich will bestimmt Webseiten sperren also das heisst:
wenn ich über meinen Windows-Client eine WebSeite öffne
(z.B. www.schweinskram.com)
will ich das z.B. der DNS oder wer auch immer mir dieses nicht zulässt
also eine seite bringt wo steht seite nichtgefunden .

Was gibts da für Möglichkeiten???
den squid will ich nicht
und iptables eigentlich auch nicht

Ich denke es müsste so etwas wie ne hosts-Datei geben (siehe Windows)
wo all diese Seiten drinstehen die geblockt werden


man dankt schon mal für alle Mühen.

Naja, auch wenn Du ihn nicht willst, so könntest Du es realisieren mittels:
squid & allowed/denied Konfiguration
squid & squidguard
squid & dansguardian

Gruß

du könntest auch ipchains und ipfwadm von den älteren kernel versionen nehmen :D

und wenn dein linux server auch als dns mit bind läuft, kannst du das auch dort einstellen (glaub ich, da ich noch nie mit bind gearbeitet habe)

mfg

ip... :)

ich will ja gerade wissen wie das mit bind geht

wenn ich das nur wüsste????

hi

also mit iptables klappt das wunderbar
ich habe eigentlich gerade das umgekehrte gemachte *g*
ich lasse für bestimmte IP-Bereiche nur bestimmt IP's zu ... aber es ist im Prinzip das selbe, bloss da du halt deine IP's angibst und dann Zugang sperrst
ich kann dir die Zeile ja mal schicken das du weisst wie das geht

mfg.
blubbersuelze :p

ja schick mir mal die Seite

die frage ist bloss ich habe ja im grunde keine ip's

sondern nur die Domain-Namen (www.irgentwas.de)

oder sollte das kein grösseres Problem sein ???

Du kannst entweder Squid nehmen und per iptables den Verkehrt automatishc durch den Squid jagen ( transparenter Proxy ) - dann brauchst du die Clients nicht anzufassen. In Squid kannst du dann Acces Controo Listen benutzen und so Domains sperren...

Oder du nimmst Bind und legst einfach DNS Einträge für die Domains an, die gesperrt sein sollen und verweisst auf einen beliebigen andenre Rechner - z.B. www.disney.com - Das Problem ist nur, das dann die User nur dne DNS Server ändenr brauchen und gleich wieder raus können.

Wenn es wirklich sicher sien soll geht es afaik nur mit Squid + iptables. Dann wird der Verkehr sicher gefiltert ...

iptables -A INPUT -d 192.168.1.123 -j DROP

damit wird das Ziel 192.168.1.123 nicht zugelassen
Namensauflösung klappt leider nicht im iptables ..

mfg.
blubbersuelze :p

Original geschrieben von blubbersuelze
iptables -A INPUT -d 192.168.1.123 -j DROP

damit wird das Ziel 192.168.1.123 nicht zugelassen


Oh doch. Falsche Chain. Das muss in die OUTPUT-Chain:

iptables -A OUTPUT -d 192.168.1.123 -j DROP



Namensauflösung klappt leider nicht im iptables ..


Stimmt auch nicht. Statt der IP-Adresse kann ich auch eine Domain angeben.

@Kommisar: Versteh ich nicht. Du suchst eine Antwort auf ein Problem, wegen dem Packt-Filter und Proxies unter anderem eingesetzt werden, willst aber beide nicht benutzen. Gibt keinen Sinn finde ich.
Du schreibst Zugang über SuSEfirewall2. Was ist das genau? Ist das kein iptables-Skript (dachte ich zumindest immer ....). Also setzt du es doch schon ein.
Bubble

ja ich setze das susefirewall2 script ein aber nur im test modus (susefirewall2 test)

d.h. ich brauche das nur fürs masquerading und zum sperren von
ip adressen aus dem intranet

sonst is das eigentlich teil überflüssig

es wäre naturlich super wenn ich ein eigenes iptables-script hätte
aber ich habs mal probiert... is leider gescheitert bin nich sehr fit in sachen
iptables und ich zocke sehr viel was natürlich das problem mit den offenen ports nich
gerade einfacher macht
aber wenn einer ein gutes iptables-script hat (ich werd's testen)


besser wäre eine Möglichkeit über den DNS Server

so wie es unter windows mit der "hosts" Datei geht

Es gibt unter Linux ein Pendant zur hosts-Datei ... (ich würde sogar mal vermuten, Windows hat sich das im Unix-Umfeld abgeschaut ... aber egal ;) ), die nennt sich

/etc/hosts

Abhängig von der Reihenfolge in /etc/host.conf versucht Linux, die Namen nach der hosts-Datei oder dem DNS-Server aufzulösen ... lautet die Reihenfolge bspw.

order hosts,bind

wird jeder Name zunächst über die hosts-Datei aufgelöst. Hier kannst du also auch umleiten.

Wegen iptables: Es gibt einen iptables-Generator von Harry. URL kenne ich nicht und hab ihn auch persönlich noch nicht benutzt, soll aber gut sein. Such einfach mal danach.

Und noch was: Da du hier von 'Intranet' schreibst bin ich mal davon ausgegangen es handelt sich um eine Umgebung in einem Unternehmen. Und da willst du Ports offen lassen weil du zocken möchtest :confused: ?
Bubble

Hi,

einen thread zum Thema iptables Generator gibt es bspw. unter:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=52772

Linux hat auch eine hosts Datei (ip-Adresse zu fqdn) ...... nur ist Weg, der dann beschritten wird, kein wirklich guter.

Gruß

Ich würde sowas immer im Arbeitsvertrag festlegen, ansonsten wird es doch wol eher zum Sport sowas zu umgehen. Menschliche Seite sollte vor der technischen kommen.

fs111

Das Problem ist, es wird immer einen Weg geben das zu umgehen. Selbst wenn ers per Proxy macht, muss er zumindest http-Traffic durchlassen ... und schon lässt sich ein http-Tunnel bauen, und über einen außenstehenden Proxy kommt man doch wieder auf die gesperrten Seiten.
Ob er dann die Seiten in einem internen Proxy sperrt oder über die hosts-Datei umleitet spielt in beiden Fällen keine Rolle. Allerdings, wie schon angesprochen, der übliche Weg besteht wohl darin, die Seiten proxymäßig zu sperren ...
Bubble