11
Seite oder Domain umleiten oder Chachen?
Ich bitte euch dringend um Hilfe in einer Server, Ip und DNS technischen Frage!
Hallo @ all,
ich bitte euch dringend um Hilfe in einer Server, Ip und DNS technischen Frage!
In unserem Netzwerk haben eine Firewall (Hardware- Firewall) die auch die DHCP Ip-Vergabe regelt. Dann hätten wir noch einen Windows 2000 Server direkt angeschlossen, der Rest kommt von einem Router aus dem lokalen Lan zur Firewall.
Mein Problem, ich möchte aus Sicherheitsgründen bestimmten Ips, in meinem lokalen Netzwerk, wenn es nicht geht Ips zuzuordnen dann eben dem Netzbereich, bestimmte Internetseiten oder Domains chachen oder umleiten.
Also wenn man zB auf einer Seite www.irgendeine-domain.com einen ganz bestimmten Bereich betritt, zB ein login, soll der Aufruf anstatt auf die richtige Seite auf eine von mir erstellte Seite mit frei wählbaren Info text geleitet werden, wenn möglich sogar auf eine Php- Seite damit ich es personalisieren kann. Für den Anfang würde es auch schon reichen wenn dieser bestimmte Bereich vom Server lokal gechachst wird damit keine neuen Daten vom Ziel heruntergeladen werden sondern nur die alten angezeigt werden!
Alle anderen Seiten oder Bereiche sollen so weit als möglich funktionieren ich möchte den Benutzern ja so gut es geht alle Freiheiten überlassen.
Gibt es da eine Möglichkeit so etwas zu realisieren, entweder über die DNS-Einstellungen die der DHCP vergibt oder einen Chach Server oder sonstiges?
Der Windows 2000 Server würde zur Verfügung stehen um etwas auf zu setzen, wenn es gar nicht geht müsste ich halt einen Linux- Server zusätzlich aufsetzen...
Bitte helft mir damit, nennt mir Lösungswege und Software, ich muss das nämlich schon recht bald umgesetzt haben
Danke
ich bitte euch dringend um Hilfe in einer Server, Ip und DNS technischen Frage!
In unserem Netzwerk haben eine Firewall (Hardware- Firewall) die auch die DHCP Ip-Vergabe regelt. Dann hätten wir noch einen Windows 2000 Server direkt angeschlossen, der Rest kommt von einem Router aus dem lokalen Lan zur Firewall.
Mein Problem, ich möchte aus Sicherheitsgründen bestimmten Ips, in meinem lokalen Netzwerk, wenn es nicht geht Ips zuzuordnen dann eben dem Netzbereich, bestimmte Internetseiten oder Domains chachen oder umleiten.
Also wenn man zB auf einer Seite www.irgendeine-domain.com einen ganz bestimmten Bereich betritt, zB ein login, soll der Aufruf anstatt auf die richtige Seite auf eine von mir erstellte Seite mit frei wählbaren Info text geleitet werden, wenn möglich sogar auf eine Php- Seite damit ich es personalisieren kann. Für den Anfang würde es auch schon reichen wenn dieser bestimmte Bereich vom Server lokal gechachst wird damit keine neuen Daten vom Ziel heruntergeladen werden sondern nur die alten angezeigt werden!
Alle anderen Seiten oder Bereiche sollen so weit als möglich funktionieren ich möchte den Benutzern ja so gut es geht alle Freiheiten überlassen.
Gibt es da eine Möglichkeit so etwas zu realisieren, entweder über die DNS-Einstellungen die der DHCP vergibt oder einen Chach Server oder sonstiges?
Der Windows 2000 Server würde zur Verfügung stehen um etwas auf zu setzen, wenn es gar nicht geht müsste ich halt einen Linux- Server zusätzlich aufsetzen...
Bitte helft mir damit, nennt mir Lösungswege und Software, ich muss das nämlich schon recht bald umgesetzt haben
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113213
Url: https://administrator.de/contentid/113213
Printed on: April 25, 2024 at 22:04 o'clock
11 Comments
Latest comment
Sowas geht ohne Probleme.
Wenn ich es allerdings erklären würde sind wir nur noch 3 Schritte davon entfernt, dass du z.B. Onlinebanking-Seiten manipulierst oder gezielt Passwörter ausspionieren kannst.
Deshalb werde ich das hier mal lassen.
Aber wie wäre es mit einem squid Proxy und entsprechenden ACLs?
http://www.cyberciti.biz/faq/how-deny-access-users-to-particular-websit ...
Grüße
Max
Wenn ich es allerdings erklären würde sind wir nur noch 3 Schritte davon entfernt, dass du z.B. Onlinebanking-Seiten manipulierst oder gezielt Passwörter ausspionieren kannst.
Deshalb werde ich das hier mal lassen.
Aber wie wäre es mit einem squid Proxy und entsprechenden ACLs?
http://www.cyberciti.biz/faq/how-deny-access-users-to-particular-websit ...
Grüße
Max
Moin,
Squid & Squidguard kannst du nehmen - und dann per Gruppenrichtlinie an alle PCs verteilen das die den Proxy nehmen sollen... Dieser cached auch gleich ALLE Internet-Seiten - so das z.B. bei deinen 30 Aufrufen von Administrator.de nicht alle kleinen Logos jedesmal neu geladen werden sondern direkt vom Proxy kommen...
Da kannst du dann auch gleich ganze Domains sperren - inkl. freier Domainlisten für z.B. Porno-Seiten usw... (das ganze läuft allerdings unter Linux, ist aber auch kostenlos)
Squid & Squidguard kannst du nehmen - und dann per Gruppenrichtlinie an alle PCs verteilen das die den Proxy nehmen sollen... Dieser cached auch gleich ALLE Internet-Seiten - so das z.B. bei deinen 30 Aufrufen von Administrator.de nicht alle kleinen Logos jedesmal neu geladen werden sondern direkt vom Proxy kommen...
Da kannst du dann auch gleich ganze Domains sperren - inkl. freier Domainlisten für z.B. Porno-Seiten usw... (das ganze läuft allerdings unter Linux, ist aber auch kostenlos)
Danke für die Antwort,
der Einwand mit dem ausspionieren war mir Bewusst, daher habe ich versucht es so zu formulieren dass niemand sich deswegen aufregt
ohne Erfolg.
So gesehen bin ich in dieser Firma Administrator (weils es sonst niemand macht), deswegen habe ich so oder so uneingeschränkten Zugriff auf alle Rechner könnte also Keylogger und andere Software aufspielen wenn es mir darum ginge, noch dazu sind das alles Firmen rechner wenn wer etwas privates macht ist es sein Problem!
Ich habe weder vor Passwortdaten zu noch andere persönliche Geheimnisse zu erfahren.
Ich kann sogar schon Domains sperren über die Firewall, aber leider erstens nur sehr allgemein per Keyword in der Domain, dass ist mir aber viel zu restriktiv, noch dazu ist die Blocked Seite meiner Hardware- Firewall extrem häßlich und bietet keinerleih Erklärung warum es nun gesperrt ist was nun wiederrum dazu führt das jeder bei mir lästig ist warum das und das nicht geht!
So gesehen müssen nur aus Sicherheitsgründen gewisse Berreiche und auch nur für Gewisse Ip Bereiche gesperrt werden, aber sperren alleine reicht nicht ich will eine Seite in unserem Firmen Design mit nützlichem Text dafür haben dass nicht sofort wieder Rückfragen kommen.
In manchen bereichen würde es auch reichen wie gesagt es nur zu chachen da generell Infos der Seite erlaubt sind nur diese nicht aktueller werden darf weil man nicht weiß was dazu kommen könnte!
Daher bitte ich um ein Erklärung oder Tutorial wenn es möglich wäre, dass Ihr es nicht öffentlich angeben wollt verstehe ich in dem Fall bitte ich um eine Email markus.emberger.biz@gmail.com
der Einwand mit dem ausspionieren war mir Bewusst, daher habe ich versucht es so zu formulieren dass niemand sich deswegen aufregt
ohne Erfolg.So gesehen bin ich in dieser Firma Administrator (weils es sonst niemand macht), deswegen habe ich so oder so uneingeschränkten Zugriff auf alle Rechner könnte also Keylogger und andere Software aufspielen wenn es mir darum ginge, noch dazu sind das alles Firmen rechner wenn wer etwas privates macht ist es sein Problem!
Ich habe weder vor Passwortdaten zu noch andere persönliche Geheimnisse zu erfahren.
Ich kann sogar schon Domains sperren über die Firewall, aber leider erstens nur sehr allgemein per Keyword in der Domain, dass ist mir aber viel zu restriktiv, noch dazu ist die Blocked Seite meiner Hardware- Firewall extrem häßlich und bietet keinerleih Erklärung warum es nun gesperrt ist was nun wiederrum dazu führt das jeder bei mir lästig ist warum das und das nicht geht!
So gesehen müssen nur aus Sicherheitsgründen gewisse Berreiche und auch nur für Gewisse Ip Bereiche gesperrt werden, aber sperren alleine reicht nicht ich will eine Seite in unserem Firmen Design mit nützlichem Text dafür haben dass nicht sofort wieder Rückfragen kommen.
In manchen bereichen würde es auch reichen wie gesagt es nur zu chachen da generell Infos der Seite erlaubt sind nur diese nicht aktueller werden darf weil man nicht weiß was dazu kommen könnte!
Daher bitte ich um ein Erklärung oder Tutorial wenn es möglich wäre, dass Ihr es nicht öffentlich angeben wollt verstehe ich in dem Fall bitte ich um eine Email markus.emberger.biz@gmail.com
Punkt 1: Wie soll eine Email an dich jemand anders helfen dasselbe Problem zu lösen?
Punkt 2: Warum sollte man dir mehr vertrauen wenn man eine Email schreibt als wenn man es gleich hier schreibt?
Punkt 3: Hast du dir überhaupt mal die Mühe gemacht dir Squid / Squidguard anzusehen oder zu gucken was das kann???? Dann siehst du das hier durchaus eine möglichkeit gegeben ist genau das umzusetzen...
Punkt 2: Warum sollte man dir mehr vertrauen wenn man eine Email schreibt als wenn man es gleich hier schreibt?
Punkt 3: Hast du dir überhaupt mal die Mühe gemacht dir Squid / Squidguard anzusehen oder zu gucken was das kann???? Dann siehst du das hier durchaus eine möglichkeit gegeben ist genau das umzusetzen...
Habe ich angesehen,
die Compilierung sieht recht kompliziert aus um es auf Windows laufen zu lassen, und ich möchte nur ungern auf meinem Server experimentieren, nun muss ich schaun ob ich irgend ein Gerät über habe um mir einen Linux Server rauf zu geben...
Könnt Ihr mir zumindest eines beantworten, lauft Squid auf einem Server an der Firewall also im Netz oder muss man dann einen Server mit 2 Netzwerkkarten ausrüsten und dazwischen hängen?
Wie gut ist die Software im generellen...
Danke
die Compilierung sieht recht kompliziert aus um es auf Windows laufen zu lassen, und ich möchte nur ungern auf meinem Server experimentieren, nun muss ich schaun ob ich irgend ein Gerät über habe um mir einen Linux Server rauf zu geben...
Könnt Ihr mir zumindest eines beantworten, lauft Squid auf einem Server an der Firewall also im Netz oder muss man dann einen Server mit 2 Netzwerkkarten ausrüsten und dazwischen hängen?
Wie gut ist die Software im generellen...
Danke
Hi,
du solltest schon eine DMZ bilden...d.h. dein Proxy hängt hinter der Firwall und hinter dem Proxy dann dein LAN. Oder aber du schaltest die Firewall und Proxy Parallel.
Somit hast du eine gewisse Sicherheit und die Möglichkeit, bestimmte Dinge am Proxy vorbei zu leiten. Es gibt Anwendungen, die mit einem Proxy nicht klar kommen.
Du musst Squid /Squidguard nicht selbst kompilieren. Z.B. bei Debian kannst du über den Paketmanager "apt-get" die Programme einfach installieren.
Grüße,
Dani
du solltest schon eine DMZ bilden...d.h. dein Proxy hängt hinter der Firwall und hinter dem Proxy dann dein LAN. Oder aber du schaltest die Firewall und Proxy Parallel.
LAN ----Router -------------Firwall
|
|
ProxyDu musst Squid /Squidguard nicht selbst kompilieren. Z.B. bei Debian kannst du über den Paketmanager "apt-get" die Programme einfach installieren.
Grüße,
Dani
Das würde dann heißen dass wenn ich es Parallel laufen lasse ich mit einer Netzerkkarte auskomme, der DHCP dem Client sagt du nimmst den Proxy, somit der Client an dem Proxy den zB http request schickt der Proxy den aus dem Cache oder Internet abruft und an den Client schickt? Nachteil würde jemand den DHCP ausschalten und den Proxy nicht angeben kommt er ohne auch durch oder?
lg
lg
also - squid läuft auf jedem linux... allerdings sollte man sich darüber im klaren sein das es eher ungünstig ist solch ein Programm (welches potenzielles angriffsrisiko bietet) direkt auf der firewall laufen zu lassen...
Am ne die Firewall bleibt so oder so davor, also Firewall dann Netzwerk.
Wie in meiner vorherigen Frage, geht es darum ob der squid Rechner 2 Netzwerkarten benötigt und zwischen Firewall und Lan hängen muss oder wie Dani anmerkte auch Parallel im Lan hängen kann also so dass er nicht Hardware technisch zwischen Firewall und LAN router steht sonder einfach am Router hängt und der DHCP den Clients sagt "das is euer Proxy nehmt den her" siehe meine vorherige Frage...
Danke Markus
Wie in meiner vorherigen Frage, geht es darum ob der squid Rechner 2 Netzwerkarten benötigt und zwischen Firewall und Lan hängen muss oder wie Dani anmerkte auch Parallel im Lan hängen kann also so dass er nicht Hardware technisch zwischen Firewall und LAN router steht sonder einfach am Router hängt und der DHCP den Clients sagt "das is euer Proxy nehmt den her" siehe meine vorherige Frage...
Danke Markus
Der Proxy benötigt nur 1 Netzwerkkarte - und deine Firewall kann dann so eingestellt werden das nur der Proxy mittels Port 80/443 ausgehend rausdarf.
Die Proxy-Einstellung verteilst du nicht per DHCP sondern per Gruppenrichtlinie (IE) oder Script (FF & Co.). Alternativ kannst du noch eine automatische Proxy-Konfig machen mittels proxy.pac ...
Die Proxy-Einstellung verteilst du nicht per DHCP sondern per Gruppenrichtlinie (IE) oder Script (FF & Co.). Alternativ kannst du noch eine automatische Proxy-Konfig machen mittels proxy.pac ...
Hallo danke für die Info bis jetzt,
Ich weiß ich bin lästig aber ich habe mit Linux noch nicht sehr lange Erfahrung....
Was ich bis jetzt gemacht habe,
*Einen Rechner hergerichtet
*aktuelle Ubuntu version hinauf gegeben,
(desktop Version da ich GUI brauche und nachinstallieren wohl nicht so einfach ist)
*statische Ip vergben der eth 02
(habe zur sicherheit noch 2 zusatz netzwerkarten darin, man weiß ja nie was man braucht )
squid, squidguard und gadmin-squid mit dem synaptic-paket manager installiert
(momentan nur version 2.7 oder sowas, ist version 3 sehr viel besser?)
Nun bin ich aber wieder überfragt wie ich weiter vorgehe, die möglichen Einstellungen von squid allein
sind schon so viele, ich tu mir schon sehr sehr hart es normal zu Konfigurieren, geschweige denn dass
ich nun auch noch für eine bestimmte IP einen ganz gewissen Teil sperre oder cache????
Noch dazu haben wir keine Domain in der Firma nur normale Workgroup ich weiss nicht genau wie ich da automatisch Gruppenrichtlinien verteilen kann usw?
Gibt es da irgend ein gutes Tutorial was es wirklich stück bei stück erklärt ??
danke
Ich weiß ich bin lästig aber ich habe mit Linux noch nicht sehr lange Erfahrung....
Was ich bis jetzt gemacht habe,
*Einen Rechner hergerichtet
*aktuelle Ubuntu version hinauf gegeben,
(desktop Version da ich GUI brauche und nachinstallieren wohl nicht so einfach ist)
*statische Ip vergben der eth 02
(habe zur sicherheit noch 2 zusatz netzwerkarten darin, man weiß ja nie was man braucht
)squid, squidguard und gadmin-squid mit dem synaptic-paket manager installiert
(momentan nur version 2.7 oder sowas, ist version 3 sehr viel besser?)
Nun bin ich aber wieder überfragt wie ich weiter vorgehe, die möglichen Einstellungen von squid allein
sind schon so viele, ich tu mir schon sehr sehr hart es normal zu Konfigurieren, geschweige denn dass
ich nun auch noch für eine bestimmte IP einen ganz gewissen Teil sperre oder cache????
Noch dazu haben wir keine Domain in der Firma nur normale Workgroup ich weiss nicht genau wie ich da automatisch Gruppenrichtlinien verteilen kann usw?
Gibt es da irgend ein gutes Tutorial was es wirklich stück bei stück erklärt ??
danke
