Hallo Leute.
Habe wieder mal ein Problem.
Unser Proxy läuft mit Squid einwandfrei.

mein Problem
3 verschiedene Netzwerke
Netz 1-HPVGL
Netz 2-1Gbit
Netz 3-DSL

unsere Clients können sich in allen netzen bewegen.
was nicht ganz ok ist.
zb.:Client druckt von netz 1 ins netz 2

wenn ich einige User keinen Proxy im Internetexplorer eintrage (Standart) bekommen diese vollen zugriff auf das komplette Internet
(Standart gateway ist der proxy beim Client und beim Proxy ist der DSL-Router als gateway)

Wie kann ich bestimmen das alle unser sich im netz 1 und 2 bewegen können und nur diejenigen die in Squid die Berechtigung haben auch surfen dürfen?

Eigentlich müßter der DSL-Router doch nur die anfragen vom proxy beantworten oder?

Um den kompletten
Gruß Rainer

also, ich habe mir deinen beitrag nun schon mehrere male durchgelesen, werde aber aus deinem netzwerk nicht schlau. mir ist nicht ganz klar, wie die user auf den dsl-router zugreifen können, wenn doch ein proxy davor geschaltet ist. irgendwie stimmt dein routing und auch die berechtigungen nicht. welches betriebssystem ist denn auf den workstations? sicherlich kein linux,sondern windows. wie schauts mit den berechtigungen unter gruppenrichtlinien aus? wenn windows mit linux arbeitet, dann ist samba mit ihm spiel. stimmen die linuxberechtigungen mit den samba berechtigungen überein? linux hat oberste priorität. infos mehr wären nicht schlecht.

gruss Uta

Im Prinzip hast du kein Problem mit deinem Proxy, sondern vielmehr ein allgemaines Routingproblem.

Ich würde es an deiner Stelle mit ipchains/iptables lösen.

Es braucht kein User Zugriff auf DSL, sondern eigentlich nur der Proxyserver (localhost) und ggf. Mail-, VPN- und ähnlich geartete Server.

D.h. du verweigerst allen Usern den Zugriff auf Netz 3 und machst dies nur für die Server auf.

Benutzer, die ins Internet gehen brauchen ja nur auf den Proxy zugreifen zu können, und *dieser* greift dann auf's Internet zu.

HALLO Ryanika
Danke für deinen beitrag.
ich glaube nicht das es mit benutzerberechtigungen zu tun hat da dieser server nur als proxy dient. Samba ist später mal auf einen anderen rechner geplant. der proxy und die firewall sollen bei uns im Hause eigenständig bleiben. Ansonsten haben wir eine W-Server und W-Clients

Hallo PC-Bastler
Ich glaube du hast mein Problem genau erkannt.
Jetzt habe ich nur noch eine Frage.
wenn ich alle User über der Proxy schicke, werden die ja auch über squid gefiltert. OK so solls sein.
Jetzt brauche ich volle berechtigung im Internet kann ich dieses noch erreichen? (Über seperaten User in SQUID, oder direkt über den DSL ROUTER)
Des weiteren habe ich das problem das wir einen Exchange-Server am laufen haben der über den dsl-Router auf eine Bianca-Brick geht und sich dort die E-Mails abholt. Die Bianca-Brick liegt auch im Netz 3.
Muß ich dann für EXCHANGE eine seperate regel ersetellen oder kann ich dieses auch über Squid schicken?

PS.: bin nicht so stark in ipchains/iptables könntest du mir ein beispiel nennen bzw. ein guten link.

gruß
rainer

Da ich noch mit Kernel 2.2 arbeite, kann ich dir leider nur zu ipchains helfen:

Zuerst solltest du dir zur Einfachheit deine Variablen definieren (ggf. durch für dich zutreffende Werte ändern):

net1dev=eth0
net2dev=eth1
net3dev=eth2

net1=192.168.1.0/24
net2=192.168.2.0/24
net3=192.168.3.0/24 #der Einfachheit halber nehme ich mal ein komplettes /24-Netz hierfür

me1=192.168.1.254 #Lokale IP-Adressen
me2=192.168.2.254
me3=192.168.3.254

exchange=192.168.1.99
adminpc=192.168.2.94

#Jetzt wird erstmal alles geblockt:

ipchains -F
ipchains -X
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

#Als nächstes den LAN-Verkehr erlauben:

ipchains -A input -s $net1 -j ACCEPT
ipchains -A output -d $net1 -j ACCEPT
ipchains -A input -s $net2 -j ACCEPT
ipchains -A output -d $net2 -j ACCEPT
ipchains -A input -s $net3 -j ACCEPT
ipchains -A output -d $net3 -j ACCEPT
ipchains -A forward -s $net1 -d $net2 -j ACCEPT
ipchains -A forward -s $net2 -d $net1 -j ACCEPT

#Jetzt nur noch den Verkehr für Mail und Admin erlauben

ipchains -A forward -s $exchange -j ACCEPT #Der einfachheit halber wird dem PC vollständiger Zugriff gewährt
ipchains -A forward -d $exchange -j ACCEPT
ipchains -A forward -s $adminpc -j ACCEPT
ipchains -A forward -d $adminpc -j ACCEPT

Damit sollte es eigentlich schonmal funktionieren... kam jetzt aber so vom Kopf, nicht von irgendwelchen Produktivrechnern, daher keine Gewähr auf Richtigkeit, Vollständigkeit oder Sicherheit.

Danke..............

Das hilft mir schon weiter.
Für den rest mache ich jetzt meine Hausaufgaben.



Rainer

hallo PC-Bastler

habe einen Kernel (2.4.10) Problem
(Suse 7.3)

dieser hat Probleme mit ipchain.

Gibt es eine Lösung oder muß ich alles auf iptable umschreiben?

ipchains: Incompatible with this kernel
ipchains: Incompatible with this kernel
ipchains: Protocol not available
ipchains: Protocol not available
ipchains: Protocol not available
ipchains: Protocol not available
ipchains: Protocol not available
ipchains: Protocol not available
ipch.....................

Gruß
Rainer

@Rainerba:

Du kannst entweder umschreiben, den Support in den Kernel kompilieren oder einen älteren kernel (2.2.x) installieren (AFAIR sind bei der 7.3 sogar entspr. vorkompilierte dabei).

IPchains muß nachinstalliert werden und iptable deinstalliert.
dann läuft auch ipchains mit der Personal-firewall

Soweit so gut.
Interne Netz wird sauber geroutet.
Jedoch wie komme ich jetzt über Squid und meine admin-PC nach draußen.
Schau dir bitte einmal die Fragezeichen an.

ipchains -F
ipchains -X
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

#Als nächstes den LAN-Verkehr erlauben:

ipchains -A input -s 192.168.9.0/24 -j ACCEPT # HP-VG-Lan (alte Netz)
ipchains -A output -d 192.168.9.0/24 -j ACCEPT
#
ipchains -A input -s 192.168.10.0/24 -j ACCEPT # Neue netz sprich 10
ipchains -A output -d 192.168.10.0/24 -j ACCEPT
#
ipchains -A input -s 192.168.8.0/24 -j ACCEPT # ISDn- DSL
ipchains -A output -d 192.168.8.0/24 -j ACCEPT
#
ipchains -A input -s 192.168.7.10 -j ACCEPT # Telefonalnage Fernwartung
ipchains -A output -d 192.168.7.10 -j ACCEPT
#
#interne Netz routen
ipchains -A forward -s 192.168.9.0/24 -d 192.168.10.0/24 -j ACCEPT # Routing vom 9 ins 10
ipchains -A forward -s 192.168.10.0/24 -d 192.168.9.0/24 -j ACCEPT # Routing von 10 nach 9
#
# routing was nach draußen geht
???ipchains -A forward -s 192.168.9.6 -d 192.168.8.0/24 -j ACCEPT # Routing vom 9.6 ins 8
???ipchains -A forward -s 192.168.8.0/24 -d 192.168.9.6 -j ACCEPT # Routing von 8 nach 9.6
# routing was nach draußen geht
???ipchains -A forward -s 192.168.10.6 -d 192.168.8.0/24 -j ACCEPT # Routing vom 10.6 ins 8
???ipchains -A forward -s 192.168.8.0/24 -d 192.168.10.6 -j ACCEPT # Routing von 8 nach 9.6
#
#Jetzt nur noch den Verkehr für Mail und Admin erlauben
#
ipchains -A forward -s 192.168.9.7 -j ACCEPT #Mail-server netz2
ipchains -A forward -d 192.168.9.7 -j ACCEPT
#
ipchains -A forward -s 192.168.10.7 -j ACCEPT #Mail-Server netz2
ipchains -A forward -d 192.168.10.7 -j ACCEPT
#
ipchains -A forward -s 192.168.10.2 -j ACCEPT # pc1
ipchains -A forward -d 192.168.10.2 -j ACCEPT
#
ipchains -A forward -s 192.168.10.143 -j ACCEPT # pc2
ipchains -A forward -d 192.168.10.143 -j ACCEPT
#
ipchains -A forward -s 192.168.10.6 -j ACCEPT # proxy netz1
ipchains -A forward -d 192.168.10.6 -j ACCEPT
#
ipchains -A forward -s 192.168.9.6 -j ACCEPT # Proxy netz2
ipchains -A forward -d 192.168.9.6 -j ACCEPT
#
ipchains -A forward -s 192.168.8.6 -j ACCEPT # Proxy dsl
ipchains -A forward -d 192.168.8.6 -j ACCEPT

was habe ich falsch gemacht?
ping geht auf meinen dsl-router vom Proxy aus.
(ADMIN-PC noch nicht getestet)

gruß
rainer

ipchain ist eine schlechte Wahl wenn es iptables gibt.

Wenn du mit dem script schreiben Probleme hast, dann schau mal auf http://harry.homelinux.org rein.

Dort gibt es nen iptables Generator der sehr einfach ist!

Grüße
DaGrrr