PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Accounts, routing, zugriff erlauben/verbieten, ...



27.09.00, 16:38
Hallo,
Ich möchte den Zugriff auf das internet über meinen router(suse6.3) steuern/regeln/bewachen können. Darum 2 Fragen von mir:

1.) Ist es möglich das sich ein Windows 9x/NT Rechner erst an meinem Server anmelden muss um ins internet zu kommmen ? (benutze kein squid oder anderen proxy, nur ipchains)

2.) Kann ich ohne einen account zu löschen ihn vorrübergehen sperren ?

mfg
Thomas S.

LKH
27.09.00, 18:56
Hallo thomas-s,

zu 1: Squid kann das.

zu 2: setze die login-shell des Benutzers auf /bin/false


------------------
Mit freundlichen Gruessen / Best regards

Leander Kirstein-Heine
--
COMPUTER & | Engelplatz 11 Phone: +49 3641-210.401
NETWORK | D-07743 Jena (Germany, EC) Fax: +49 3641-211.650
CONSULTING | eMail: lkh@cnc-online.net URL: http://cnc-online.net/

27.09.00, 21:33
Mhhh aber ich möchte kein squid benutzen!

Ich möchte das man sich wie zB. an einer Windows Dömane anmeldet, also mit dem Windows Login (für netzwerk).

Und kann man ein script schreiben mit dem man login-shell auf fals bzw. auf bash setzt ?

mfg
Thomas

27.09.00, 22:38
Huhuuu thomas-s

bei 1 kann ich dir leider auch nicht helfen
zu 2
ist gemeint du stellst in der /etc/passwd
bei dem entsprechenden user anstatt */bin/bash
einfach auf */bin/false
und schreibst evtl noch in die /etc/shells
das /bin/false rein ( auch wenn es das "false" garnicht gibt )
so hat der user keine shell kann sich somit auch
nicht mehr einloggen da er dafuer ja auch eine shell braucht
allerdings duerfte so der ftp connect noch klappen
da man da keine shell fuer braucht ....

viel spass noch weiterhin
bye bye
zyz

28.09.00, 08:10
Jo Danke alle http://www.linuxforen.de/ubb/smile.gif

Aber weiss jemand wo ich evtl. Infos/Dokus für meine 1. Frage bekommen kann ?

mfg
Thomas S.

sschaper
28.09.00, 09:50
Hallo,

dazu fällt mir höchstens die Möglichkeit ein, den Einwahlvorgang nur für bestimmte User zuzulassen. Erstmal den dialmode auf manual stellen. Dann kann man nur mit "isdnctrl dial ippp0" die Verbindung aufbauen (bei ISDN, bei Modem wird's was entsprechendes geben). Wenn Du diesen Befehl als normaler User eingibst, funktioniert er erstmal nicht, weil der User keine Rechte für das isdn-Device hat. Es gibt eine Gruppe "isdn" (kann bei Dir anders heißen), der Du den User zuweisen kannst, dann kann er das Device ansprechen. Alle User dieser Gruppe können das.

Sobald eine Verbindung besteht, können die anderen User sie natürlich mitbenutzen...

Alternativ kannst Du natürlich mit ipchains Regeln festlegen, die das Routing/NAT ins Internet von bestimmten Client-Rechnern aus zulassen oder blockieren. Allerdings ist das dann auf Rechner- und nicht User-Ebene. Vielleicht genügt Dir das aber, wenn jeder User immer nur seinen eigenen Rechner verwendet.

Die bessere Lösung wäre allerdings, wie bereits gesagt, squid. Wie das genau gemacht wird, weiß ich allerdings nicht - würde mich aber über Tips hierzu ebenfalls freuen...

Gruß,

Sebastian



------------------
Sebastian Schaper
American Book Center Schaper GdbR
http://ABC.Schaper.com

TheJudger
28.09.00, 09:54
Moin moin !

um nen Account zu sperren, ohne ihn zu löschen, kannst du in der etc/passwd hinter dem >Usernamen<:x:..... das x durch einen * ersetzen ...

schon funkt der Account nicht mehr, bis das x dort wieder ist ...

(klappt so nicht, wenn du keine shadow hast ...) ...

28.09.00, 15:04
Hiho,

Shhapper. Ich habe fast durchweg eine Internet verbindung offen. Ich benutze diese dann immer (icq,irc usw) aber manche clienten sollen halt nciht immer online gehen können.

Mit ipchains regeln festlegen ist eine möglichkeit. Man könnte ja hingehen und zB 1 script schreiben das einmal den zugang erlauben und einmal verbieten (share |start|stop|status). Nur wie sind die passenden ipchains regeln/befehle ?

mfg
TS

p.s. wie sieht es mit samba als DM (domain controller alá NT) aus ?

sschaper
29.09.00, 09:48
Hallo,

ipchains-Regeln --> ipchains-howto: http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html

Samba als Domain Controller --> ??? Keine Ahnung! Ich wüßte auch nicht, wie Du damit den Internetzugang beschränken willst. Schließlich ist Samba ein File- und Printserver und kein Proxy oder Router.

Du könntest höchstens in einem Login-Skript, das Samba ausführt (--> Samba-Doku), anhand des Benutzernamens den entsprechenden Rechner per ipchains-Befehl sperren oder für den Internetzugang zulassen.

Gruß,

Sebastian