geht sowas mit einem proxy?

[ccfritz]

hallo all,

also ein kunde von mir, eine schule, hat bis vor kurzem noch ein 100% NT - Lan besessen.
nachdem allerdings MS NT4 nciht mehr supportet etc. habe ich sie auf eine teil migration auf linux überredet. soweit so gut, webserver,samba,.. alles steht und passt.
jetzt ist dort allerdings ein ms proxy server, wecher die spezielle aufgabe hat den einzelnen räumen zugriff zu gewähren oder verwähren.
also z.b gib t es die edv-räume
3.4 , 3.5 , 3.6

der raum 3.4 dient unter anderem auch als übrungsraum -> ständig internet
der raum, 3.5 dient ausschliesslich als schulungs und prüfunsraum -> nur fallweise internet
der raum 3.6 genau wie raum 3.5

so, beim ms proxy haben die admins,, einfach jedem raum einen proxy account angelegt, und somit den internetzugang für den raum zugelassen oder per plick deaktiviert.

jetzt ist es meine aufgabe, mir zu überlegen wie man das auf linux basis realisiert.
mein erster gedanke war über IP-Range, also das der raum eine gewisse range hat, und der raum usw. aber im sleben subnet (192.168.10.0/24) und das am "router" dann quasi über ein webinterface gesagt wird, die range wird jetzt zugelassen, und dieser nicht.
jetzt die frage, ist sowas überhaupt zu realiseren? oder gibt es im linux bereich ebenfalls etwas ähnlcihes wie beim MS proxy - user bezogen - was natrülich wesehntlich handlicher in der administration ist !?!?

bin für jeden tipp dankbar, habe mittlerweile schon 10.... verschiedne proxy server angesehen. jede menge gegoogelt etc. nichts brauchbares gefunden. abgeshen davon zählt für micht erfahurng mehr, als bla bla auf diveresen seiten der projektanbieter.

[SchmaliHRO]

Schau mal in die squid.conf Datei. Dort ist ausführlich beschrieben wie Du mittels acl Zugriffe regeln kannst.

[ccfritz]

okay, kleine frage - acl !?!?!?

[steve-bracket]

ACL = Access Control List (Zugriffskontrolle)
Zb anhand von IP RAnges

fG
Steve

[ccfritz]

okay, gibt es eine überishct welche möglichkeiten von acl es in squid gibt?
habe jetzt keine linux kiste da stehen um zu looken, habt ihr eine url i hinterkopf ?

[mbo]

[B[ ... habt ihr eine url i hinterkopf ? [/B]

Jupp, http://www.google.de
und falls Dir das tippen schwer fällt:
http://www.google.de/search?q=squid+...a=lr%3Dlang_de

Es ist auch in der squid.conf ausreichend beschrieben.

Melde Dich, wenn Deine ACL's stehen und es wider erwarten nicht funktionieren soll.

... oder wenn Du ein eindeutig schweres Konzept hast

cu/2 iae

[ccfritz]

okay, supi danke. werde mich gleich durwühlen!!

und glaube mir, es werden sicher fragen auftachen

[xstevex22]

Hi!

http://www.squid-handbuch.de/

[mamue]

Das mit dem squid hat unter Umständen Nebenwirkungen, die einem den Tag verderben können.
Ich nehme mal an, dass nicht die Schüler, sondern die Lehrkraft den Internetzugang freischalten soll, richtig? Das ist mit statischen acl etwas schwierig. Meine Erfahrung war, dass nach einer Änderung der acl ein Neustart nötig war (rcsquid restart). Da aber noch squidGuard mit "dranhängt" und der mehrere Minuten braucht, um die Datenbank einzulesen, war das unpraktikabel.
Ich habe das hier wie folgt gelöst:
Der Fileserver ist gleichzeitig innere Firewall, er schützt vor dem Zugang nach draussen. Die Firewall kann über ein Webinterface manipuliert werden, Die Lehrkräfte rufen eine Seite auf und schalten einen Raum (IP-Range) für einen Zeitraum frei. Das php-script führt ein shellscript aus, dass einige REJECT regeln durch ACCEPT ersetzt, AT führt dann nach xy Minuten das andere Script aus, das wieder auf REJECT stellt.
Das geht sehr schnell und hat sich hier prima bewährt. Ob aber nun suid-executable per PHP auf einem Fileserver vertretbar sind, mag jeder für sich selbst entscheiden.
Für elegantere Lösungsvorschläge wäre ich daher auch dankbar.
Eine andere, wie ich meine, schweinegeile Lösung wäre die Verwendung von auth_ntlm in squid. Der IE sendet die Benutzerkennung in einem HTML header mit, so dass der Proxy in einer Datenbank oder im LDAP nachschlagen könnte, ob dieser user jetzt gerade mal surfen darf. Keine Ahnung, ob und wie das geht.
Meine scripte laufen einstweilen, der server ist gespiegelt und immerhin weiss ich, was da läuft.

Viel Spass,
mamue

edit:
mit suid-executable meinte setuid-root executable

[ccfritz]

alles klar - habt dank ,

@mamue

dein lösungsansatz, klingt für mich auch interessanter, da es sich um ca. 450 clients handelt. jedesmal beim schalten reinlesen ist glaube ich doch etwas abartig, oder ist das noch machbar ? ich miene beim reinlesen der listen, welche range darf und welche nicht.
ich wollte es ebenfalls in php lösen (als konsole) wird dann über ein webinterface angesteuert.
ich verstehe nur nicht ganz die letztere, allerdings dennoch sehr interessante theroie mit dem header...
dieser "user" wird im header des IE's mitgesenedet? im php ist dieser aber nicht in der funktion header() erlesbar !?!
wäre ebenfalls für einige ideen bzw. lösungvorschläge in der richutng dankbar.

[mamue]

Wie gesagt, ich weiss, das das mit auth_ntlm _theoretisch_ funktionieren könnte, zumal dann in der access log nicht mehr nur die IP stünde ;-)
Ich habe dazu nach einer Weile des Suchens nichts wirklich brauchbares gefunden, ausser einigen Anregungen. Es gibt jacicfs (für auth_ntlm) und eine http-proxy in java, man könnte sich das also eventuell selber zusammen schreiben. Nur ist meine Zeit dazu etwas zu knapp und der Leidensdruck nicht besonders hoch, es läuft ja.

mamue

[mbo]

Original geschrieben von mamue
Da aber noch squidGuard mit "dranhängt" und der mehrere Minuten braucht, um die Datenbank einzulesen, war das unpraktikabel.

Hm, was für ein Rechner ist das?
Mein PII 200 | 3x 128MB RAM und ein SquidGuardDB mit ca 2,7 Mio Einträgen braucht keine 30 sek zum initialisieren, wenn ich auf 1,05 Mio Einträge zurückgehen, sind es 14 sek..

Sofern es nur mit einem Proxy für alle Räum realisiert werden soll, würde ich das wie von mamue vorgeschlagen über IP-Tables lösen. Andereseits kenne ich Umgebungen, da wurde für "Prüfungen" das Internet gestattet, aber nur bestimmte Seiten, ergo hat jeder Raum einen Squid | SquidGuard bekommen, und die Freischaltung und Sperrung erfolgte im Raum selbst sozusagen.


cu/2 iae

[mbo]

Original geschrieben von ccfritz
alles klar - habt dank ,
ich verstehe nur nicht ganz die letztere, allerdings dennoch sehr interessante theroie mit dem header...
dieser "user" wird im header des IE's mitgesenedet? im php ist dieser aber nicht in der funktion header() erlesbar !?!
wäre ebenfalls für einige ideen bzw. lösungvorschläge in der richutng dankbar.

Nun, bei PHP gibt es REMOTE_USER, sofern der IE konfiguriert ist, im LAN den angemeldeten User zur anmeldung zu verwenden, wird der auch übertragen, und du kannst ihn mit getenv("REMOTE_USER") abfragen - funktioniert nicht über Proxy, also lokale Adressen sollten tunlichst den Proxy umgehen

cu/2 iae