Internet-Zugriff einschränken (whitelist)

29/11/2013 - 13:39 von Magnus Warker | Report spam
Hallo,

alle Endgeràte in meinem Hausnetz gehen über einen Router ins Internet.

Für einige dieser Endgeràte möchte ich den Internet-Zugriff auf eine
Liste freigegebener Domains (whitelist) beschrànken.

Dafür ist AFAIK Squid gedacht, richtig? Diesen würde ich auf einem
speziellen Rechner betreiben.

Nun ist es so, dass die Endgeràte die IP des Routers als Default Gateway
verwenden.

Wie erreicht man nun, dass die Endgeràte "über Squid" ins Netz gehen?
Ich nehme mal an, indem man dort den Squid-Rechner als Default Gateway
eintràgt?

Und wie verhindert man dann, dass die Endgeràte einfach durch Umbiegen
des Default Gateways auf den Router am Squid vorbei gehen?

Wie sieht eine gàngige Lösung dafür aus?

Danke
Magnus

This is Unix-Land. In quiet nights, you can hear the Windows machines
reboot.
 

Lesen sie die antworten

#1 Holger Marzen
29/11/2013 - 14:01 | Warnen spam
* On Fri, 29 Nov 2013 13:39:45 +0100, Magnus Warker wrote:

alle Endgeràte in meinem Hausnetz gehen über einen Router ins Internet.

Für einige dieser Endgeràte möchte ich den Internet-Zugriff auf eine
Liste freigegebener Domains (whitelist) beschrànken.

Dafür ist AFAIK Squid gedacht, richtig? Diesen würde ich auf einem
speziellen Rechner betreiben.

Nun ist es so, dass die Endgeràte die IP des Routers als Default Gateway
verwenden.

Wie erreicht man nun, dass die Endgeràte "über Squid" ins Netz gehen?
Ich nehme mal an, indem man dort den Squid-Rechner als Default Gateway
eintràgt?



Squid ist ein HTTP-Proxy. Du kannst nicht jeglichen ip-Verkehr darüber
routen.

Du kannst den HTTP-Proxy auf Deinen Endgeràten eintragen, und zwar für
die Anwendungen, die HTTP sprechen. Wie genau, hàngt von der Software
ab.

Du kannst auch dafür sorgen, dass sie den Rechner, auf dem Squid làuft,
als Default Gateway nehmen. Dann kannst Du Squid als transparenten Proxy
konfigurieren, der alles aufsaugt (z.B. alle TCP-Verbindungen zu Port
80). Das geht mit iptables.

Und wie verhindert man dann, dass die Endgeràte einfach durch Umbiegen
des Default Gateways auf den Router am Squid vorbei gehen?



Du blockst die ip-Adressen der Endgeràte auf dem Router und erlaubst nur
der Maschine, auf der Squid làuft, rauszugehen.

Du könntest für diese Geràte auch einen separaten Router und ein eigenes
ip-Netz nehmen, dann müssen sie diesen Router als Default Gateway
nehmen, und der wiederum kann den Rechner mit Squid als Default Gateway
haben.

Ähnliche fragen