Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anfragen nur von besitmmten IPs auflösen

Frage Netzwerke DNS

Mitglied: Jabberwock

Jabberwock (Level 1) - Jetzt verbinden

24.10.2006, aktualisiert 25.10.2006, 4335 Aufrufe, 13 Kommentare

Hi, ich hoffe ihr könnt mir ein bisschen helfen. Ich habe mir ein Projekt aufschwatzen lassen und nun komme ich nicht weiter. Bin ja auch noch in der Ausbildung, da kann das ja mal passieren.

Ich möchte, dass alle Anfragen die an den DNS gehen bei mir auf dem Lokalen Webserver landen.
Nur Anfragen von bestimmten IPs dürfen aufgelöst werden, leider werden die aber vom DHCP vergeben und da habe ich kein Einfluss drauf. Also müssten die erlaubten IPs auch noch schnell mit einem Script oder so änderbar sein.

Laufen soll das ganze auf einem Ubuntu Server 6

Hab ihr eine Idee wie man so was lösen könnte?
Über Tipps und Radschläge wäre ich euch sehr dankbar.

Mfg
Jabberwock
Mitglied: 27119
24.10.2006 um 05:50 Uhr
Die DNS Anfragen gehen an den DNS Server, daher kann dein Webserver sie auch nicht abfangen. (UDP Port 53). Ist ja kein Broadcast sondern Unicast.
Wenn die Clients (oder Teile davon) keine DNS Anfragen mehr stellen können, können sie sich auch nicht mehr in der domäne anmelden und vieles mehr.
Der Sinn will sich mir nciht ganz erschliessen.
Gibt es einen?
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 06:21 Uhr
Hm, ich weiß jetzt nicht so ganz was du meinst.
Hab mich vielleicht auch nicht so gut ausgedrückt.

Ich habe ein LAN und jedes mal wenn ein Client nach irgendeiner Internetadresse "www.domain.de" fragt, soll er auf 192.168.1.1 bei meinem Webserver landen der ihm dann die Index vom Intranet anzeigt. So das der Client nicht ins Internet kommen kann.
Aber ein paar Clients dürfen ganz normal die Adressen auflösen und die sollen dann auch die richtigen Seiten angezeigt bekommen.

Geht so was überhaupt?
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 06:51 Uhr
Hallo!

Also da denke ich ist der DNS der falsche Ansatz.
Ich würde das ganze mit nem Proxy machen und ACLs setzen. Weiterhin würde ich eher LDAP nutzen und die ACLs auf die User setzen, nicht auf die IPs. Allerdings lassen sich die ACLs auch auf IPs anwenden.

Auf dem Proxy kannst Du dann ja imho explizit sagen, welcher User auf welche Seiten darf, und wer nicht. Wenns denn mal nen deny gibt kannst Du die entsprechende Fehlerseite auf den von Dir angesprochenen Webserver umleiten, bzw. direkt den Index des Intranets anzeigen lassen.

Gruß
Xadis
Bitte warten ..
Mitglied: cykes
24.10.2006 um 08:48 Uhr
Hi,

alternativ zu der Lösung von Xadis kannst Du den Clients, die ins Internet dürfen auch über DHCP immer die gleiche IP geben lassen, dazu vergibst Du für die MAC Adressen der
Netzwerkkarten dieser Clients immer die gleich IP per DHCP.

Dann kannst Du mit einem Proxy, z.B. Squid unter Linux, entsprechende Regeln einführen,
einmal die globale, dass alle auf der Intranet- bzw. Firmenhomepage landen und eine
Ausnahme für die Clients, die ins Internet dürfen.

Über den DNS Server funktioniert das nicht.

Gruß

cykes
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 09:40 Uhr
Moin,

ich favoritisiere auch die IP-Adressreservierung anhand der MAC. Wenn du eine Domain hast, kannst du ja auch einfach eine Startseite per GPO definieren! Und die Internetoptionen sperren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: 27119
24.10.2006 um 12:48 Uhr
Nunja, DHCP hat sich leider noch nie zur Durchsetzung von Richtlinien geeignet.
Um sich statisch eine freie IP selbst zu geben muss man kein Hacker sein.
Und die User sind sehr findig, wenn es um freies Surfen geht.
Vom Aufwand ganz zu schweigen.

Meine Meinung.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:04 Uhr
also ich gehe hier einfach mal von einer domain aus. und dort schränke ich die nutzer dementsprechend ein. sie kommen nicht in die TCP/IP Eigenschaften oder auf die shell. und dann müssen sie schon sehr ambitioniert sein.
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 13:50 Uhr
Hi, Danke schon mal für die vielen Antworten. Scheint so als wenn ich das noch mal überdenken muss.

DHCP kann ich leider nicht ändern und wenn ich jedem über die MAC eine zuteilen lasse dann kann ich auch gleich statische verwänden. Es sind halt viele wechselnde Clients (Wlan) und auch immer andere die in Internet dürfen. Die melden sich dann über die Webpage bei dem Radiusserver an und dann dürfen die ins Intenet. Solange sie nicht angemeldet sind muss immer die Anmelde Seite im Browser erscheinen, egal was eingegeben wird.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:57 Uhr
okay wenn du am dhcp nicht darfst isses schlecht, dann doch besser statisch, und wenn die clients domänenmitglieder sind dann per gpo die startseite definieren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 18:01 Uhr
Hmm.. Gibt es denn irgendwelche greifbaren Kriterien an denen festgemaht wird, wann ein User/PC ins Inet darf und wann nicht?

Das klingt so, als wärst Du irgendwo beschäftigt, wo viel Durchgangsverkehr herrscht..
Bitte warten ..
Mitglied: Guenni
24.10.2006 um 20:11 Uhr
@Jabberwock

Hi,

Voraussetzung für folg. Lösung ist, dass die Clients über deinen Server ins Internet
gehen müssen, das heißt, sie können weder einen Router erreichen, noch
ist auf deinem Server Routing aktiviert.

Du installierst auf deinem Server SQUID, und über den Proxy gehen
deine Clients ins Internet(oder auch nicht :-o ? )

In den Internetoptionen deiner Clients stellst du
manuelle Proxy-Konfiguration ein:

Http-Proxy: Servername_oder_ip
Port: 3128 // Squid-Standard

Nun zu Squid

Erstelle im Verz. /etc/squid zwei Dateien:

1. Datei "ERR_ACCES_DENIED", Inhalt....
01.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 
02.
<HTML><HEAD> 
03.
<meta http-equiv="refresh" content="0; url=http://Adresse_deines_Webservers"> 
04.
 
05.
</HEAD> 
06.
<BODY> 
07.
Der Zugriff zum Internet ist ihnen nicht gestattet. 
08.
 
09.
Falls die Umleitung bei ihnen nicht funkioniert, 
10.
<a href="http://Adresse_deines_Webservers">Zur Startseite</a>
WICHTIG: Kein </body>, kein </html>, das macht Squid
selber.

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

2. Datei "internet.src", Inhalt…
01.
#Format IP-Adresse/Subnetzmaske 
02.
 
03.
192.168.xxx.xx1/255.255.255.255 // Ja, viermal 255 ist richtig!!!! 
04.
192.168.xxx.xx2/255.255.255.255 
05.
usw.
Das sind die Clients, die ins Internet dürfen

Als nächstes werden in der Datei /etc/squid/squid.conf die
Zugriffe definiert:

Suche in der Datei nach ACL bzw. http_access, da wirst du
irgendwo fündig, und da definierst du einfach deine Zugriffsregel:

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Grüße
Günni
Bitte warten ..
Mitglied: Jabberwock
25.10.2006 um 17:35 Uhr
Hi, super vielen Dank Günni.
Das hört sich viel versprechend an. Werde das gleich mal (allerdings nur zu Hause) testen.
Vielen Dank auch allen anderen die geantwortet haben. Ohne euch stände ich ganz schön auf dem Schlauch. Scheint hier ein sehr kompetentes Forum zu sein. Denke hier werde ich bleiben.

Dankeschööööön

mfg
Jabberwock
Bitte warten ..
Mitglied: Guenni
25.10.2006 um 18:07 Uhr
@Jabberwock,

Hi,

zwei Sachen noch:

Zu....

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

.... hab' ich festgestellt:

Jetzt gibt es ja im Squidverzeichnis nur diese eine Datei mit
der Weiterleitung zum lokalen Webserver.

Ich habe natürlich meinen lokalen Webserver lt. meiner Anleitung
konfiguriert, um sicher zu sein, dass es funkt..

Gebe ich nun eine Adresse ein, die nicht existiert,
so ist dies ja keine Zugriffsverletzung, also holt Squid sich anscheinend
aus seinem Default-Verzeichnis die richtige Seite raus und es gibt keine
Weiterleitung, sondern eine Fehlermeldung. Das war's.

Zu....

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Mein Serversystem ist Debian 3.0 Sarge.
Installiere ich Squid, so ist erstmal grundsätzlich kein Zugriff
möglich, auch nicht lokal, ich weiß nicht, wie das bei Ubuntu ist.

Die letzte Zeile http_access deny all ist aber auf jeden Fall
schon da, nicht, dass du die doppelt schreibst.

Vielleicht hast du's aber schon selber festgestellt. Wie dem auch sei,
wollte dir nur noch 'nen Hinweis geben.

Viel Erfolg beim Testen.

Grüße
Günni
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Router & Routing
gelöst Proxmox WAN IPs (13)

Frage von sebastian2608 zum Thema Router & Routing ...

Batch & Shell
Script zum Auflösen einer Ordnerstruktur und zurück gesucht (12)

Frage von websolutions zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...