Ankündigung

Einklappen
Keine Ankündigung bisher.

(Proxy)Kann man ein Routing zwischen verschiedenen Netzen sperren

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • (Proxy)Kann man ein Routing zwischen verschiedenen Netzen sperren

    Hallo Leute.
    Habe wieder mal ein Problem.
    Unser Proxy läuft mit Squid einwandfrei.

    mein Problem
    3 verschiedene Netzwerke
    Netz 1-HPVGL
    Netz 2-1Gbit
    Netz 3-DSL

    unsere Clients können sich in allen netzen bewegen.
    was nicht ganz ok ist.
    zb.:Client druckt von netz 1 ins netz 2

    wenn ich einige User keinen Proxy im Internetexplorer eintrage (Standart) bekommen diese vollen zugriff auf das komplette Internet
    (Standart gateway ist der proxy beim Client und beim Proxy ist der DSL-Router als gateway)

    Wie kann ich bestimmen das alle unser sich im netz 1 und 2 bewegen können und nur diejenigen die in Squid die Berechtigung haben auch surfen dürfen?

    Eigentlich müßter der DSL-Router doch nur die anfragen vom proxy beantworten oder?

    Um den kompletten
    Gruß Rainer

  • #2
    also, ich habe mir deinen beitrag nun schon mehrere male durchgelesen, werde aber aus deinem netzwerk nicht schlau. mir ist nicht ganz klar, wie die user auf den dsl-router zugreifen können, wenn doch ein proxy davor geschaltet ist. irgendwie stimmt dein routing und auch die berechtigungen nicht. welches betriebssystem ist denn auf den workstations? sicherlich kein linux,sondern windows. wie schauts mit den berechtigungen unter gruppenrichtlinien aus? wenn windows mit linux arbeitet, dann ist samba mit ihm spiel. stimmen die linuxberechtigungen mit den samba berechtigungen überein? linux hat oberste priorität. infos mehr wären nicht schlecht.

    gruss Uta
    Zuletzt geändert von Ryanika_Gelöscht; 03.09.2003, 17:30.

    Kommentar


    • #3
      Im Prinzip hast du kein Problem mit deinem Proxy, sondern vielmehr ein allgemaines Routingproblem.

      Ich würde es an deiner Stelle mit ipchains/iptables lösen.

      Es braucht kein User Zugriff auf DSL, sondern eigentlich nur der Proxyserver (localhost) und ggf. Mail-, VPN- und ähnlich geartete Server.

      D.h. du verweigerst allen Usern den Zugriff auf Netz 3 und machst dies nur für die Server auf.

      Benutzer, die ins Internet gehen brauchen ja nur auf den Proxy zugreifen zu können, und *dieser* greift dann auf's Internet zu.
      CU
      Thomas

      MCP
      70-210, 70-215, 70-218
      Next -> 70-216

      Mit 8 bit kann ich noch arbeiten... aber mit 32 bit bin ich blau

      Kommentar


      • #4
        HALLO Ryanika
        Danke für deinen beitrag.
        ich glaube nicht das es mit benutzerberechtigungen zu tun hat da dieser server nur als proxy dient. Samba ist später mal auf einen anderen rechner geplant. der proxy und die firewall sollen bei uns im Hause eigenständig bleiben. Ansonsten haben wir eine W-Server und W-Clients

        Hallo PC-Bastler
        Ich glaube du hast mein Problem genau erkannt.
        Jetzt habe ich nur noch eine Frage.
        wenn ich alle User über der Proxy schicke, werden die ja auch über squid gefiltert. OK so solls sein.
        Jetzt brauche ich volle berechtigung im Internet kann ich dieses noch erreichen? (Über seperaten User in SQUID, oder direkt über den DSL ROUTER)
        Des weiteren habe ich das problem das wir einen Exchange-Server am laufen haben der über den dsl-Router auf eine Bianca-Brick geht und sich dort die E-Mails abholt. Die Bianca-Brick liegt auch im Netz 3.
        Muß ich dann für EXCHANGE eine seperate regel ersetellen oder kann ich dieses auch über Squid schicken?

        PS.: bin nicht so stark in ipchains/iptables könntest du mir ein beispiel nennen bzw. ein guten link.

        gruß
        rainer

        Kommentar


        • #5
          Da ich noch mit Kernel 2.2 arbeite, kann ich dir leider nur zu ipchains helfen:

          Zuerst solltest du dir zur Einfachheit deine Variablen definieren (ggf. durch für dich zutreffende Werte ändern):

          net1dev=eth0
          net2dev=eth1
          net3dev=eth2

          net1=192.168.1.0/24
          net2=192.168.2.0/24
          net3=192.168.3.0/24 #der Einfachheit halber nehme ich mal ein komplettes /24-Netz hierfür

          me1=192.168.1.254 #Lokale IP-Adressen
          me2=192.168.2.254
          me3=192.168.3.254

          exchange=192.168.1.99
          adminpc=192.168.2.94

          #Jetzt wird erstmal alles geblockt:

          ipchains -F
          ipchains -X
          ipchains -P input DENY
          ipchains -P output DENY
          ipchains -P forward DENY

          #Als nächstes den LAN-Verkehr erlauben:

          ipchains -A input -s $net1 -j ACCEPT
          ipchains -A output -d $net1 -j ACCEPT
          ipchains -A input -s $net2 -j ACCEPT
          ipchains -A output -d $net2 -j ACCEPT
          ipchains -A input -s $net3 -j ACCEPT
          ipchains -A output -d $net3 -j ACCEPT
          ipchains -A forward -s $net1 -d $net2 -j ACCEPT
          ipchains -A forward -s $net2 -d $net1 -j ACCEPT

          #Jetzt nur noch den Verkehr für Mail und Admin erlauben

          ipchains -A forward -s $exchange -j ACCEPT #Der einfachheit halber wird dem PC vollständiger Zugriff gewährt
          ipchains -A forward -d $exchange -j ACCEPT
          ipchains -A forward -s $adminpc -j ACCEPT
          ipchains -A forward -d $adminpc -j ACCEPT

          Damit sollte es eigentlich schonmal funktionieren... kam jetzt aber so vom Kopf, nicht von irgendwelchen Produktivrechnern, daher keine Gewähr auf Richtigkeit, Vollständigkeit oder Sicherheit.
          CU
          Thomas

          MCP
          70-210, 70-215, 70-218
          Next -> 70-216

          Mit 8 bit kann ich noch arbeiten... aber mit 32 bit bin ich blau

          Kommentar


          • #6
            Danke..............

            Das hilft mir schon weiter.
            Für den rest mache ich jetzt meine Hausaufgaben.



            Rainer

            Kommentar


            • #7
              hallo PC-Bastler

              habe einen Kernel (2.4.10) Problem
              (Suse 7.3)

              dieser hat Probleme mit ipchain.

              Gibt es eine Lösung oder muß ich alles auf iptable umschreiben?

              ipchains: Incompatible with this kernel
              ipchains: Incompatible with this kernel
              ipchains: Protocol not available
              ipchains: Protocol not available
              ipchains: Protocol not available
              ipchains: Protocol not available
              ipchains: Protocol not available
              ipchains: Protocol not available
              ipch.....................

              Gruß
              Rainer

              Kommentar


              • #8
                @Rainerba:

                Du kannst entweder umschreiben, den Support in den Kernel kompilieren oder einen älteren kernel (2.2.x) installieren (AFAIR sind bei der 7.3 sogar entspr. vorkompilierte dabei).
                CU
                Thomas

                MCP
                70-210, 70-215, 70-218
                Next -> 70-216

                Mit 8 bit kann ich noch arbeiten... aber mit 32 bit bin ich blau

                Kommentar


                • #9
                  IPchains muß nachinstalliert werden und iptable deinstalliert.
                  dann läuft auch ipchains mit der Personal-firewall

                  Soweit so gut.
                  Interne Netz wird sauber geroutet.
                  Jedoch wie komme ich jetzt über Squid und meine admin-PC nach draußen.
                  Schau dir bitte einmal die Fragezeichen an.

                  ipchains -F
                  ipchains -X
                  ipchains -P input DENY
                  ipchains -P output DENY
                  ipchains -P forward DENY

                  #Als nächstes den LAN-Verkehr erlauben:

                  ipchains -A input -s 192.168.9.0/24 -j ACCEPT # HP-VG-Lan (alte Netz)
                  ipchains -A output -d 192.168.9.0/24 -j ACCEPT
                  #
                  ipchains -A input -s 192.168.10.0/24 -j ACCEPT # Neue netz sprich 10
                  ipchains -A output -d 192.168.10.0/24 -j ACCEPT
                  #
                  ipchains -A input -s 192.168.8.0/24 -j ACCEPT # ISDn- DSL
                  ipchains -A output -d 192.168.8.0/24 -j ACCEPT
                  #
                  ipchains -A input -s 192.168.7.10 -j ACCEPT # Telefonalnage Fernwartung
                  ipchains -A output -d 192.168.7.10 -j ACCEPT
                  #
                  #interne Netz routen
                  ipchains -A forward -s 192.168.9.0/24 -d 192.168.10.0/24 -j ACCEPT # Routing vom 9 ins 10
                  ipchains -A forward -s 192.168.10.0/24 -d 192.168.9.0/24 -j ACCEPT # Routing von 10 nach 9
                  #
                  # routing was nach draußen geht
                  ???ipchains -A forward -s 192.168.9.6 -d 192.168.8.0/24 -j ACCEPT # Routing vom 9.6 ins 8
                  ???ipchains -A forward -s 192.168.8.0/24 -d 192.168.9.6 -j ACCEPT # Routing von 8 nach 9.6
                  # routing was nach draußen geht
                  ???ipchains -A forward -s 192.168.10.6 -d 192.168.8.0/24 -j ACCEPT # Routing vom 10.6 ins 8
                  ???ipchains -A forward -s 192.168.8.0/24 -d 192.168.10.6 -j ACCEPT # Routing von 8 nach 9.6
                  #
                  #Jetzt nur noch den Verkehr für Mail und Admin erlauben
                  #
                  ipchains -A forward -s 192.168.9.7 -j ACCEPT #Mail-server netz2
                  ipchains -A forward -d 192.168.9.7 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.10.7 -j ACCEPT #Mail-Server netz2
                  ipchains -A forward -d 192.168.10.7 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.10.2 -j ACCEPT # pc1
                  ipchains -A forward -d 192.168.10.2 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.10.143 -j ACCEPT # pc2
                  ipchains -A forward -d 192.168.10.143 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.10.6 -j ACCEPT # proxy netz1
                  ipchains -A forward -d 192.168.10.6 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.9.6 -j ACCEPT # Proxy netz2
                  ipchains -A forward -d 192.168.9.6 -j ACCEPT
                  #
                  ipchains -A forward -s 192.168.8.6 -j ACCEPT # Proxy dsl
                  ipchains -A forward -d 192.168.8.6 -j ACCEPT

                  was habe ich falsch gemacht?
                  ping geht auf meinen dsl-router vom Proxy aus.
                  (ADMIN-PC noch nicht getestet)

                  gruß
                  rainer

                  Kommentar


                  • #10
                    ipchain ist eine schlechte Wahl wenn es iptables gibt.

                    Wenn du mit dem script schreiben Probleme hast, dann schau mal auf http://harry.homelinux.org rein.

                    Dort gibt es nen iptables Generator der sehr einfach ist!

                    Grüße
                    DaGrrr
                    Debian GNU/Linux SID, Kernel: 2.6.11-SMP

                    LPIC-1 - Junior-Level Administrator Linux
                    LPIC-2 - Intermediate Level Administration Linux
                    MCSE, MCP, A+

                    Kommentar

                    Lädt...
                    X