canawid
Goto Top

Namensauflösung nur per Proxy, nicht per DNS

Guten Tag,
ich habe vor einigen Wochen meine neue Stelle als Systemadministrator begonnen und wurde in eine komplett vorhande AD-Struktur geworfen. Das Problem ist, dass ich niemanden habe der mir erklären kann was vorher alles eingerichtet wurde und ich mich selber durchfuchsen muss. Jetzt habe ich ein erstes größeres Problem und brauche direkt Hilfe! Ein Freund hat mir diese Seite hier empfohlen und gesagt, "hier wird man geholfen", ich hoffe natürlich mir auch...

Zum Problem: Normalerweise wenn man über den IE ins Internet gehen will muß man sich am Proxy authentifizieren. Dieser prüft dann ob man ins Internet darf oder nicht. Jetzt waren einige User aber so klug und haben den Proxy in den Internetoptionen ausgestellt. Jetzt wird die Namensauflösung nicht an den Proxy geschickt sondern direkt an den DNS und dieser löst ohne Probleme auf und zeigt die Internetseite an. Ich habe den Proxy dann per GPO erzwungen. aber einige User nutzen den Firefox und dieser greift nicht auf die GPOs. Somit können sie wieder ohne Probleme weitersurfen. Das ist aber auch nicht meine Traumlösung.

Meine Frage: Wie kann ich dem DNS sagen bei welchen Client IP-Adressen er eine Namensauflösung ins Internet starten soll und bei welchen nicht. Und ist dies überhaupt so möglich oder gibt es da eine andere, vielleicht sogar elegantere möglichkeit.

Und eine kleine bitte noch an die die mit eine Antwort schicken. Ihr solltet wissen, dass ich quasi noch in der Umschulung, also bitte formuliert eure Antworten ein bischen für Dumme face-wink

Grüße und schon mal vielen Dank im Vorraus!

Dawid

Content-Key: 160828

Url: https://administrator.de/contentid/160828

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: ackerdiesel
ackerdiesel 15.02.2011 um 15:27:17 Uhr
Goto Top
Hallo,

las doch deine User eine Namensauflösung machen. Ist doch kein Problem, wenn diese wissen welche IP hinter www.google.de steckt.

Du musst das "surfen" in deiner Firewall verhindern.

Erstell auf deiner Firewall eine Gruppe und in dieser Gruppe packst Du alle IP-Adressen hinein, die keine Verbindung ins Internet haben dürfen, dann eine Rule erstellen, die die Verbindung der Gruppe nach extern, sprich Internet, sperrt.

Welche Firewall wird bei Dir eingesetzt ? Und was nutz Du als Proxy - Server ? Oder ist das ein und das selbe Gerät ?

Gruß
ackerdiesel
Mitglied: maretz
maretz 15.02.2011 um 15:33:14 Uhr
Goto Top
Moin,

a) du kannst auch beim FF die Proxy-Einstellungen zwingend vorgeben... Suche mal nach Frontmotion Firefox - schon hast du auch die Möglichkeit die GPOs einzusetzen...

b) Schalte einfach in der FW ab das die Leute aus dem normalen Netz über Port 80/443 raus dürfen -> Ruhe is ... Am besten sogar ALLE Ports für die Leute sperren - und ausgehend nur per Proxy zulassen - dann ist ruhe im Karton. Die können ja den Proxy dann gern ausschalten - dann surfen die halt gar nicht mehr... ODER du setzt auf einen Transparenten Proxy - dann is es dir auch egal ob die was ein- oder ausschalten, der holt sich das trotzdem aus dem Datenstrom...

Was das Niveau der Antwort angeht: Sorry, hier musst du selbst dann auch mitwirken. Ich werde _NICHT_ das ganze haarklein aufschreiben wie man das macht - da ich von jemanden der eine Stelle als Sysadmin annimmt erwarte das sich die Personen auch in die Bereiche einlesen wollen und werden. Du hast auf jeden Fall die Option mit dem o.g. mal durch Google zu gehen und hier genügend Lösungsansätze zu finden. Und selbstverständlich kannst du bei weiteren Fragen diese auch gerne hier stellen...

Gruß

Mike
Mitglied: Canawid
Canawid 15.02.2011 um 16:01:03 Uhr
Goto Top
hi ackerdiesel,

wir nutzen astaro, die eierlegende woll-milch-sau face-wink die ist proxy, firewall und router u.v.m.

an deine idee hab ich auch schon gedacht. aber wenn dann neue clients bekommen dazukommen muß ich jedesmal die IP adresse manuell dort einpflegen. des weiteren hab ich dann das problem das einige User programme nutzen die ab und zu aufs internet zugreifen müßen und es dann nicht mehr können. ich müßte dann quasi für jedes programm auf den verschiedenen clients eine ausnahme erstellen und und und

deswegen will ich einfach nur verhindert das die user nicht wissen sollen welche ip hinter www.google.de steckt weil dann können sie es auch nicht sehen...


gruß

dawid
Mitglied: Canawid
Canawid 15.02.2011 um 16:09:02 Uhr
Goto Top
na danke für den kleinen seitenhieb face-wink und keine sorge, den beitrag konnte ich noch folgen.

das mit firefox frontmotion hört sich sehr gut an, das werde ich mal ausprobieren. auch das mit dem transparenten proxy wäre eine alternative!
nichts desto trotz suche ich eine DNS Lösung. Mir persönlich gefällt es mit der GPO am besten, jetzt wo es auch wahrscheinlich noch mit dem FF gehen wird. Nur leider sitze ich am ende der Nahrungskette und kann das nicht entscheiden, wenn du verstehst...

gruß


dawid
Mitglied: dog
dog 15.02.2011 um 16:17:15 Uhr
Goto Top
auf und zeigt die Internetseite an.

Das ist ein schwerer Konzeptionsfehler!
Wenn ich sowas sehen würde, würde ich sofort den Stecker ziehen.
Dass heißt nämlich, dass die Benutzer über einen Router einen direkten Weg ins Internet haben - das darf niemals passieren.
Der Proxy muss immer der technisch einzige Weg sein das Netzwerk zu verlassen. Es darf nicht mal einen Router geben!
Mitglied: maretz
maretz 15.02.2011 um 16:20:12 Uhr
Goto Top
Nun - das mit dem DNS mag _DIR_ am liebsten sein - ist aber mit verlaub die schlechteste Lösung... Nehmen wir an ich habe einen Server irgendwo im Web -> dann weiss ich dessen IP. Und schon umgehe ich deine DNS-Abfrage indem ich einfach http://127.0.0.1/meineProxySeite.htm in den Browser eingebe -> ab sofort surfe ich darüber und mache was ich will... und nu?

Von daher: Auch am ende der Nahrungskette muss man ja nicht zwangläufig nur Sch... fressen :P Hier muss man sich nur angucken wie man das vernünftig löst - und da gibt es ja auch kostenlose Lösungen die gut sind... (Und wenn Chef hört "Kostenlos" ist das schonmal die halbe Miete ;))

Und wenn du die Astaro schon nutzt kannst du ggf. auch die Web-Security dafür nehmen -> schon hast du das ganze sogar per bequemen Klick erledigt....
Mitglied: ackerdiesel
ackerdiesel 15.02.2011 um 16:27:28 Uhr
Goto Top
Astaro ist doch super.

Sperre einfach dein ganzes LAN für die externe Schnittstelle und dann pflegst Du eine Whitelist, allerdings weiß ich nicht, wieso jemand ohne Proxy aus dem LAN heraus nach extern darf.

Bei der Astaro kann man doch dann alle Verbindungen über Proxy konfigurieren wie man es braucht- z.B. Buchhaltung auch die Ports für HBCI, oder IT auch FTP, etc.

Also alles kein großes Problem. LAN aus Extern blockieren, auf Anrufe warten und gut ist.

Bei deiner Lösung funktioniert sonst auch einfach einen öffentlichen DNS eintragen und alles klappt wunderbar, weil DNS - Abfragen auf extern verhinderst Du bestimmt auch nicht face-smile
Mitglied: Canawid
Canawid 15.02.2011 um 16:30:50 Uhr
Goto Top
genau das ist es dog. aber das hat hier jahrelang wohl keinen gestört bis ich es mal angesprochen habe. jetzt muß ich mich drum kümmern nur leider hatte ich keinen ansatz, bzw keinen den meinem chef gefallen hat...
Mitglied: Canawid
Canawid 15.02.2011 um 16:41:55 Uhr
Goto Top
nicht MIR ist das mit dem DNS am liebsten.

und bei allem respekt, wir reden hier über user die ihr passwort mit ausgeschaltetem num-block eingeben und sich wundern warum sie sich nicht anmelden. "ja aber da sind doch punkte auf dem bildschirm!"

uns hats schon gewundert wie die das mit dem proxy rausbekommen haben. wie sollen die dann bitte einen server aufziehen, den irgendwo ins netz stellen und dann auch noch darüber surven. unwahrscheinlich bis unmöglich...

ich will meinem chef eine lösungsvariante, wie er es will, mit dem dns vorlegen können und alternativ eine andere. alternativ hab ich schon genug. deswegen suche ich weiter...

und die web security regelt nur wohin du surfen darfst aber leider nicht wer surfen darf...
Mitglied: Sonnenscheinhasser
Sonnenscheinhasser 15.02.2011 um 18:04:23 Uhr
Goto Top
Zitat von @maretz:
Moin,

a) du kannst auch beim FF die Proxy-Einstellungen zwingend vorgeben... Suche mal nach Frontmotion Firefox - schon hast du auch die
Möglichkeit die GPOs einzusetzen...

Und die greifen auch bei z.B. der Portable Edition vom USB-Stick?

Schwarze Grüße,
Tom
Mitglied: education
education 15.02.2011 um 20:48:31 Uhr
Goto Top
standartgateway raus aus den clients und schon brauchen die jungs und mädels den proxy
sorry aber DNS sperren ist nicht das wahre und auch umgehbar. was machst wenn jemand doch lokale adminrechte auf seinen PC hat und seinen DNS ändert oder zusätzlich einen einträgt? schon sind sie ohne die kontrolle im inet.

du hast mit deinen neuen job schon einen fehler gemacht:
- du warst noch nicht durch was alles nicht past. <-- sorry verbesserungen kommen dann wenn ich alles kenne was ich kennen muss
- erst konzept entwerfen bevor ich das schlechte ändern will
- du bist der Sysadmin und hast dem Chef zu sagen was besser funktionieren würde und nicht der chef die GL haben meistens nur halbwissen.
Mitglied: Sonnenscheinhasser
Sonnenscheinhasser 15.02.2011 um 21:29:02 Uhr
Goto Top
Zitat von @education:
standartgateway raus aus den clients und schon brauchen die jungs und mädels den proxy

Na super. Und wenn dein Netz mehr als ein Segment hat, stehst du schon wieder da, weil nix mehr geht.

sorry aber DNS sperren ist nicht das wahre und auch umgehbar.

Genauso wie ein fehlendes Standardgateway.

was machst wenn jemand doch lokale adminrechte auf seinen PC hat und
seinen DNS ändert oder zusätzlich einen einträgt? schon sind sie ohne die kontrolle im inet.

Wer einen DNS eintragen kann, kann auch ein Standardgateway nachtragen.

Sorry, die einzige Lösung ist und bleibt ein Proxy, am besten ein Squid in Kombination mit Squidguard sowie einer korrekt konfigurierten Firewall.

Schwarze Grüße,
Tom
Mitglied: ackerdiesel
ackerdiesel 16.02.2011 um 08:24:52 Uhr
Goto Top
Hallo Tom,

genau was ich schon vorher geschrieben habe, LAN für EXTERN sperren und der zauber ist vorbei !!

Die Astaro hat einen Proxy integriert, die auf Squid aufbaut, daher kein weiterer Proxy nötig.


Gruß
ackerdiesel
Mitglied: Canawid
Canawid 16.02.2011 um 09:37:07 Uhr
Goto Top
ich glaube langsam auch das es wirklich die einzigst sinnige lösung ist.
ich werd das glaub ich auch so machen. werde zwar nervende user am telefon haben aber damit muß ich dann wohl die nächsten paar tage leben.

ich danken allen für die teilnahme und für die infos.

ich werd den eintrag mal noch nicht als gelöst markieren sondern mal abwarten ob vielleicht noch einer was dazu sagen kann. je mehr eindrücke umso besser face-wink

gruß an alle
dawid
Mitglied: Guenni
Guenni 18.02.2011 um 00:09:22 Uhr
Goto Top
@Canawid,

typischerweise ist doch ein Proxy auf einem Rechner mit zwei NIC's installiert:

Eine NIC und der Internet-Router sind in einem Netz, die andere NIC und das LAN sind in einem anderen Netz, z.B.:

Router NIC 1 NIC 2 LAN
192.168.10.1 192.168.10.2 192.168.2.1 192.168.2.xxx


Jetzt darf auf diesem Rechner natürlich das Routing nicht aktiviert sein. Denn dann kann man (sofern es nicht untersagt ist) in

seinem Browser den Router (192.168.10.1) als Gateway eintragen. Da kannst du in deinem Proxy konfigurieren was du willst,

der kriegt das ja gar nicht mit, weil er nicht genutzt wird. Die User haben somit ohne Routing keine andere Möglichkeit, als über

den Proxy zu surfen. Nachteil ist, dass bestimmte Anwendungen nicht funktionieren, z.B. kann ein eMail-Client nicht mehr mit

einem externen Mailserver kommunizieren (ist zumindest bei Outlook der Fall). In dem Fall müsste ein Mailserver installiert werden.


Da der Proxy "SQUID" in Astaro verwendet wird (andere Proxy's habe ich selber noch nicht verwendet), wäre eine zweite Möglichkeit,

den Proxy als "transparent" zu konfigurieren. Das heißt, die User brauchen keinen Eintrag "Proxyserver:Port" im Browser, alle http-Anfragen

werden durch eine entspr. Firewallregel zum Proxy umgeleitet, ohne dass User das mitbekommen.

Zu Suchanfragen wie "squid transparent" oder "proxy transparent" findest du jede Menge Seiten im Internet.


Vorgeschlagene Konfiguration wäre z.B. . . .

Datei squid.conf
# Squid normally listens to port 3128
http_port 3128 transparent

iptables-Regel
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

. . . von http://wiki.ubuntuusers.de/squid

Gruß
Günni
Mitglied: maretz
maretz 18.02.2011 um 11:31:14 Uhr
Goto Top
Moin,

du solltest erwähnen das der Proxy nur dann nutzbar ist wenn man die Lizenz für Web-Security dazuholt.... Ansonsten ist die in den Pro-Lizenzen nämlich nicht drin - und ohne Lizenz kein Proxy...
Mitglied: Guenni
Guenni 18.02.2011 um 22:06:20 Uhr
Goto Top
@maretz,

ich kann mich täuschen, aber ich meine gelesen zu haben, dass Canawid den Proxy in Astaro bereits nutzt.

(Da die Smilies im Moment anscheinend nicht funktionieren, ein geschriebenes "Zwinker").

Gruß
Günni