Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anfragen nur von besitmmten IPs auflösen

Mitglied: Jabberwock

Jabberwock (Level 1) - Jetzt verbinden

24.10.2006, aktualisiert 25.10.2006, 4415 Aufrufe, 13 Kommentare

Hi, ich hoffe ihr könnt mir ein bisschen helfen. Ich habe mir ein Projekt aufschwatzen lassen und nun komme ich nicht weiter. Bin ja auch noch in der Ausbildung, da kann das ja mal passieren.

Ich möchte, dass alle Anfragen die an den DNS gehen bei mir auf dem Lokalen Webserver landen.
Nur Anfragen von bestimmten IPs dürfen aufgelöst werden, leider werden die aber vom DHCP vergeben und da habe ich kein Einfluss drauf. Also müssten die erlaubten IPs auch noch schnell mit einem Script oder so änderbar sein.

Laufen soll das ganze auf einem Ubuntu Server 6

Hab ihr eine Idee wie man so was lösen könnte?
Über Tipps und Radschläge wäre ich euch sehr dankbar.

Mfg
Jabberwock
Mitglied: 27119
24.10.2006 um 05:50 Uhr
Die DNS Anfragen gehen an den DNS Server, daher kann dein Webserver sie auch nicht abfangen. (UDP Port 53). Ist ja kein Broadcast sondern Unicast.
Wenn die Clients (oder Teile davon) keine DNS Anfragen mehr stellen können, können sie sich auch nicht mehr in der domäne anmelden und vieles mehr.
Der Sinn will sich mir nciht ganz erschliessen.
Gibt es einen?
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 06:21 Uhr
Hm, ich weiß jetzt nicht so ganz was du meinst.
Hab mich vielleicht auch nicht so gut ausgedrückt.

Ich habe ein LAN und jedes mal wenn ein Client nach irgendeiner Internetadresse "www.domain.de" fragt, soll er auf 192.168.1.1 bei meinem Webserver landen der ihm dann die Index vom Intranet anzeigt. So das der Client nicht ins Internet kommen kann.
Aber ein paar Clients dürfen ganz normal die Adressen auflösen und die sollen dann auch die richtigen Seiten angezeigt bekommen.

Geht so was überhaupt?
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 06:51 Uhr
Hallo!

Also da denke ich ist der DNS der falsche Ansatz.
Ich würde das ganze mit nem Proxy machen und ACLs setzen. Weiterhin würde ich eher LDAP nutzen und die ACLs auf die User setzen, nicht auf die IPs. Allerdings lassen sich die ACLs auch auf IPs anwenden.

Auf dem Proxy kannst Du dann ja imho explizit sagen, welcher User auf welche Seiten darf, und wer nicht. Wenns denn mal nen deny gibt kannst Du die entsprechende Fehlerseite auf den von Dir angesprochenen Webserver umleiten, bzw. direkt den Index des Intranets anzeigen lassen.

Gruß
Xadis
Bitte warten ..
Mitglied: cykes
24.10.2006 um 08:48 Uhr
Hi,

alternativ zu der Lösung von Xadis kannst Du den Clients, die ins Internet dürfen auch über DHCP immer die gleiche IP geben lassen, dazu vergibst Du für die MAC Adressen der
Netzwerkkarten dieser Clients immer die gleich IP per DHCP.

Dann kannst Du mit einem Proxy, z.B. Squid unter Linux, entsprechende Regeln einführen,
einmal die globale, dass alle auf der Intranet- bzw. Firmenhomepage landen und eine
Ausnahme für die Clients, die ins Internet dürfen.

Über den DNS Server funktioniert das nicht.

Gruß

cykes
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 09:40 Uhr
Moin,

ich favoritisiere auch die IP-Adressreservierung anhand der MAC. Wenn du eine Domain hast, kannst du ja auch einfach eine Startseite per GPO definieren! Und die Internetoptionen sperren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: 27119
24.10.2006 um 12:48 Uhr
Nunja, DHCP hat sich leider noch nie zur Durchsetzung von Richtlinien geeignet.
Um sich statisch eine freie IP selbst zu geben muss man kein Hacker sein.
Und die User sind sehr findig, wenn es um freies Surfen geht.
Vom Aufwand ganz zu schweigen.

Meine Meinung.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:04 Uhr
also ich gehe hier einfach mal von einer domain aus. und dort schränke ich die nutzer dementsprechend ein. sie kommen nicht in die TCP/IP Eigenschaften oder auf die shell. und dann müssen sie schon sehr ambitioniert sein.
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 13:50 Uhr
Hi, Danke schon mal für die vielen Antworten. Scheint so als wenn ich das noch mal überdenken muss.

DHCP kann ich leider nicht ändern und wenn ich jedem über die MAC eine zuteilen lasse dann kann ich auch gleich statische verwänden. Es sind halt viele wechselnde Clients (Wlan) und auch immer andere die in Internet dürfen. Die melden sich dann über die Webpage bei dem Radiusserver an und dann dürfen die ins Intenet. Solange sie nicht angemeldet sind muss immer die Anmelde Seite im Browser erscheinen, egal was eingegeben wird.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:57 Uhr
okay wenn du am dhcp nicht darfst isses schlecht, dann doch besser statisch, und wenn die clients domänenmitglieder sind dann per gpo die startseite definieren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 18:01 Uhr
Hmm.. Gibt es denn irgendwelche greifbaren Kriterien an denen festgemaht wird, wann ein User/PC ins Inet darf und wann nicht?

Das klingt so, als wärst Du irgendwo beschäftigt, wo viel Durchgangsverkehr herrscht..
Bitte warten ..
Mitglied: Guenni
24.10.2006 um 20:11 Uhr
@Jabberwock

Hi,

Voraussetzung für folg. Lösung ist, dass die Clients über deinen Server ins Internet
gehen müssen, das heißt, sie können weder einen Router erreichen, noch
ist auf deinem Server Routing aktiviert.

Du installierst auf deinem Server SQUID, und über den Proxy gehen
deine Clients ins Internet(oder auch nicht :-o ? )

In den Internetoptionen deiner Clients stellst du
manuelle Proxy-Konfiguration ein:

Http-Proxy: Servername_oder_ip
Port: 3128 // Squid-Standard

Nun zu Squid

Erstelle im Verz. /etc/squid zwei Dateien:

1. Datei "ERR_ACCES_DENIED", Inhalt....
01.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 
02.
<HTML><HEAD> 
03.
<meta http-equiv="refresh" content="0; url=http://Adresse_deines_Webservers"> 
04.
 
05.
</HEAD> 
06.
<BODY> 
07.
Der Zugriff zum Internet ist ihnen nicht gestattet. 
08.
 
09.
Falls die Umleitung bei ihnen nicht funkioniert, 
10.
<a href="http://Adresse_deines_Webservers">Zur Startseite</a>
WICHTIG: Kein </body>, kein </html>, das macht Squid
selber.

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

2. Datei "internet.src", Inhalt…
01.
#Format IP-Adresse/Subnetzmaske 
02.
 
03.
192.168.xxx.xx1/255.255.255.255 // Ja, viermal 255 ist richtig!!!! 
04.
192.168.xxx.xx2/255.255.255.255 
05.
usw.
Das sind die Clients, die ins Internet dürfen

Als nächstes werden in der Datei /etc/squid/squid.conf die
Zugriffe definiert:

Suche in der Datei nach ACL bzw. http_access, da wirst du
irgendwo fündig, und da definierst du einfach deine Zugriffsregel:

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Grüße
Günni
Bitte warten ..
Mitglied: Jabberwock
25.10.2006 um 17:35 Uhr
Hi, super vielen Dank Günni.
Das hört sich viel versprechend an. Werde das gleich mal (allerdings nur zu Hause) testen.
Vielen Dank auch allen anderen die geantwortet haben. Ohne euch stände ich ganz schön auf dem Schlauch. Scheint hier ein sehr kompetentes Forum zu sein. Denke hier werde ich bleiben.

Dankeschööööön

mfg
Jabberwock
Bitte warten ..
Mitglied: Guenni
25.10.2006 um 18:07 Uhr
@Jabberwock,

Hi,

zwei Sachen noch:

Zu....

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

.... hab' ich festgestellt:

Jetzt gibt es ja im Squidverzeichnis nur diese eine Datei mit
der Weiterleitung zum lokalen Webserver.

Ich habe natürlich meinen lokalen Webserver lt. meiner Anleitung
konfiguriert, um sicher zu sein, dass es funkt..

Gebe ich nun eine Adresse ein, die nicht existiert,
so ist dies ja keine Zugriffsverletzung, also holt Squid sich anscheinend
aus seinem Default-Verzeichnis die richtige Seite raus und es gibt keine
Weiterleitung, sondern eine Fehlermeldung. Das war's.

Zu....

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Mein Serversystem ist Debian 3.0 Sarge.
Installiere ich Squid, so ist erstmal grundsätzlich kein Zugriff
möglich, auch nicht lokal, ich weiß nicht, wie das bei Ubuntu ist.

Die letzte Zeile http_access deny all ist aber auf jeden Fall
schon da, nicht, dass du die doppelt schreibst.

Vielleicht hast du's aber schon selber festgestellt. Wie dem auch sei,
wollte dir nur noch 'nen Hinweis geben.

Viel Erfolg beim Testen.

Grüße
Günni
Bitte warten ..
Ähnliche Inhalte
Mac OS X
Host auflösen sehr langsam bei MAC
gelöst Frage von ModdryMac OS X9 Kommentare

Guten Abend! :) Ich habe hier ein MBP (Mid 2012) mit Google Chrome. Als DNS Server benutze ich meinen ...

Batch & Shell
Domain auflösen per PowerShell
Frage von WWW-KRBatch & Shell5 Kommentare

Hallo, ich möchte die IP-Adresse einer Domain per PowerShell abfragen. Der Befehl ist mir soweit klar und stellt keine ...

Linux
Befehle zum auflösen von Domains
gelöst Frage von winlinLinux14 Kommentare

Hallo Leute Habe eine Gesamtsituation mit mehreren Domains. Es gibt verschiedene DNS Server welche in unterschiedlichen netzwerkzonen liegen. Nun ...

Netzwerke
Anfrage zur Buchqualität
Frage von SarekHLNetzwerke26 Kommentare

Hallo zusammen, hat jemand von Euch Erfahrungen mit diesem Buch und kann beurteilen, ob das was taugt, um sich ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 18 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 3 TagenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz15 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware14 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...