stoppi
Goto Top

IPCop mit Advanced Proxy - Lokale Authentisierung

Mahlzeit,

habe mich jetzt eingehender mit dem IPCop beschäftigt. Die Vorraussetzungen in meinem Netzwerk sind folgende:

Internet Anschluß auf Router (DSL-Modem)
DSL-Modem auf IPCop
Green Netzwerk mit ca. 25 Clients

Als Addon läuft zur Zeit noch "Traffic Control and Report"

Mein Problem:

Habe den AdvancedProxy installiert und dabei auch gleich mal die Anleitung dazu ausgedruckt.
Wenn ich den Proxy laufen lassen will, muß ich diesen auf "Green Aktivieren" und "Transparenter Modus" laufen lassen, damit ich in der Statistik auch Zugriffe über den Proxy verzeichnet werden.

Ich wollte allerdings, das sich jeder Nutzer in dem Netzwerk, der in das Internet möchte (quasi den Browser öffnet) ein Login, sowie ein Passwort eingeben muß. Die Authentisierungsmethode sollte dann "local" sein.

Es gibt dann entweder kein Internet, oder für alle. Das sich jemand Authentisieren muß, das habe ich noch nicht hin bekommen. Ich stöbere auch schon seit ein paar Tagen in Google nach HowTo's oder sonstigen Antworten, die mich weiter bringen...

Das einzigste was ich gefunden habe, ist ein Verweis auf die Doku unter Punkt 8.2. Da sollte man das über DHCP machen. Ich komm absolut gerade nicht weiter...

Danke für Hilfe im vorraus...


P.S. Bitte schreibt nicht auf irgendwelche Verweise in der Doku oder "such mal in Google". Soweit war ich schon mal...

Content-Key: 69886

Url: https://administrator.de/contentid/69886

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: marsmars
marsmars 19.02.2008 um 20:54:52 Uhr
Goto Top
Google hat mir deine Frage grad ausgespuckt,
ich bin mir ziemlich sicher, dass "Transparenter Modus" und egal welche Authentifizierungsmethode zusammen nicht geht, du musst eins ausschalten. Das steht so in in dem Administrationshandbuch. Schreibe grad eine Facharbeit darüber. Wenn du Transparent abschalltest erzeugst du natürlich keinen Traffic durch den Proxy, du musst dem Browser sagen, das er ihn nutzen soll - trage im Browser folgendes ein: Http-Proxy: <IPCop IP auf Grün> z.B. 192.168.1.1; Port: <angegebenen Port im Webinterface> z.B. 8080
Kommt zwar spät aber besser als gar nicht face-wink
Mitglied: stoppi
stoppi 20.02.2008 um 10:48:16 Uhr
Goto Top
MoinMoin,

spitzenmäßig, auch nach so langer Zeit noch eine Antwort zu bekommen. Auch nach wie vor beschäftige ich mich mit dem IPCop.
Derzeit läuft der "Traffic Control and Report" nachdem es anderst nicht funktioniert hat.

Noch immer möchte ich mit dem Proxy eigentlich erreichen, das man sich quasi, bevor man ins Internet kommt, sich authentisieren muß.

Ich habe den Proxy in wieder in Betrieb genommen. Okay, soweit funktioniert das auch super. Allerdings:

Wenn im Browser kein Proxy eingetragen ist, kann man ganz normal über den Port 80 surfen. Ist allerdings ein Proxy-Eintrag vorhanden, dann klappt das mit der Authentisierung einwandfrei. Jetzt mein nächstes Problem:

Kann ich irgendwie verhindern, das man ohne Proxy eintrag einfach über den Port 80 raussurfen kann ????

Nochmals vielen Dank erst mal...
Mitglied: marsmars
marsmars 12.03.2008 um 18:50:19 Uhr
Goto Top
sry da wurde die Zeit knapp mit der Abgabe der Facharbeit und anderen Klausuren,
nun sonst kam dann erst mal Erholung, Stress ist nun vorbei.

Ja das ist möglich! 3 Tipps:

Regel unter IPCop mit iptabels modifikation (im Handbuch von advanced Proxy: Kapitel 8 Erzwingen der Proxy-Benutzung, S. 64, http://www.advproxy.net/documentation/ipcop-advproxy-de.pdf )

mit BOT http://blockouttraffic.de/index_de.php blockierst du jeglichen Traffic, dann muss man für jeden Dienst entweder einen Proxy einrichten, oder einen Port öffnen.
Anscheinend hast du dir das Handbuch nicht durchgelesen, ich empfehle es dir sehr, überfliege es zumindest, dann bekommst du immerhin weiterführende Hinweise! So habe ich meine Facharbeit vorbereite face-wink

nimm Endian, eine freundliche Abspalltung von IPCop, die hat BOT gleich installiert und alles grob vorkonfiguriert.

Nachdem ich mich über "Traffic Control and Report" informiert habe muss ich sagen, dass es vom Prinzip sehr gut ist, es ist mir aber nicht flexibel genug, d.h. keiner hat lust ca. 100 Mac addresen zuzuweisen, obwohl alles bequem per LDAP oder AD datenbank gehen könnte. Für den Homebereich ist das aber sicher sinnvoll.


marsmars
Mitglied: ice04
ice04 15.01.2010 um 20:47:32 Uhr
Goto Top
Hallo zusammen,
ich möchte hier nochmal weitermachen.

folgendes Vorhaben liegt an:
-ca. 20 PC mit Win XP prof soll Internetzugang ermöglicht werden.
-Modem ist ein Speedport
-Router ist IpFire (letzte Woche installiert)

Es soll:
verhindert werden, dass andere als die angemeldeten PC's ins Internet kommen.
Verkehr soll geloggt werden.
2 verschiedene Gruppen mit Web-gefiltert/Web-frei geben

Im Prinzip verlange ich doch nichts außergewöhnliches.
Habe schon jede Menge Ansatzpunkte gefunden, komme aber letztendlich nicht zum Abschluß

Wenn ich die über iptables Regeln festlege, gelten die doch für alle PC's?
Oder kann ich die Anhand z.B. der MAC unterscheiden.

Proxy erzwingen:
Kann ich bestimmte PC's vom Zwang ausnehmen?

BlockOutTraffic:
wird wohl nicht funktionieren, wenn man 2 Gruppen von Berechtigungen haben möchte


Zusammenfassung:
Ich möchte 20 PC's (aber 2 verschiedene Berechtigungsstufen) durch einen Proxy, der nicht umgangen werden kann, ins Internet bringen und mitloggen - fertig


Bisher helfe ich mir mit lokaler Authentifizierung und habe 20 Benutzer angelegt. Den Proxy habe ich manuell bei allen PC eingetragen.
Ist wohl nicht ganz toll. Das Problem mit den nicht angemeldeten PC's habe ich noch gar nicht gelöst.

Kann mir jemand weiterhelfen?
Mitglied: marsmars
marsmars 20.01.2010 um 22:47:21 Uhr
Goto Top
Hi
folgendes Vorhaben liegt an:
-ca. 20 PC mit Win XP prof soll Internetzugang ermöglicht werden.
-Modem ist ein Speedport
-Router ist IpFire (letzte Woche installiert)

Es soll:
verhindert werden, dass andere als die angemeldeten PC's ins Internet kommen.
Verkehr soll geloggt werden.
2 verschiedene Gruppen mit Web-gefiltert/Web-frei geben
empfehle 2 Getrennte Netzwerke, der Router sollte das können ... Traffic könnte zwischen diesen Netzwerken erlaubt werden, nur ist bei einem Netzwerk ein transpernter Proxy aktiv.

Wenn ich die über iptables Regeln festlege, gelten die doch für alle PC's?
Oder kann ich die Anhand z.B. der MAC unterscheiden.
Bei einer IPCOP erweiterung ging Subnet (siehe empfehlung oben), IP und / oder MAC

Proxy erzwingen:
Transperenter Proxy, die Gateway leitet jeglichen traffic auf Port 80 an den (i.d.R internen) Proxy weiter.
Kann ich bestimmte PC's vom Zwang ausnehmen?
Jaein -
_Alle PCs in einem Netzwerk:
-über einen weiteren Proxy, der direkt zugriff aufs Internet hat, und in entsprechenden Coputern eingestellt ist
-IPtables könnten wahrscheinlich auch bestimmte PCs...
besser ist aber:
-Port 80 sperren,
-Port 80 aufboren für die Computer mit ungefiltertem Zugang
-kein trnspernter Proxy, sondern übliche Installation
-Proxy in den bestimmten Computern für gefiltern Internetseiten einstellen
-nur erlaubte Clients im Proxy einstellen
_oder die Computer sind in einem anderen physikalischen Netz und Supnet:
-traffic zwischen beiden Freischalten
-bei einem ein transpernt Proxy auf Port 80


BlockOutTraffic:
wird wohl nicht funktionieren, wenn man 2 Gruppen von Berechtigungen haben möchte

siehe oben, du müsstes es mit Unterschiedlichen Netzen probieren, port 80 leitest du dann auf den Proxy um
...

Bisher helfe ich mir mit lokaler Authentifizierung und habe 20 Benutzer angelegt. Den Proxy habe ich manuell bei allen PC
eingetragen.
Hast du einen Server ?? mit LDAP bzw. AD und DC oder einen WIN NT PDC damit könntest du dein Problem bei den Usern umgehen und obiges gleichzeitig machen