7
Alternativen für einen Proxyserver für Internetzugang
Ich weis, das das Thema schon sehr oft disktutiert wurde, konnte aber bisher noch keine zufriedenstellende Lösung finden.
Das klassische Szenario: Ein Wohnheim (ca. 30 TN) hat einen Internetanschluss. Nun muss protokolliert werden, wer sich, zu welcher Zeit, wo befunden hat.
Nun haben wir das mit Squid gelöst: Ein Rechner (Intel Atom, 2GB RAM, SSD) mit openSuse, ipTables, Squid und DHCP.
Funktioniert im Grunde ziemlich gut. Nun gibt es allerdings durch die Benutzung eines Proxies bestimmte Einschränkungen. D.h. die verwendeten Programme müssen einen Proxy unterstützen. Da das aber einige nicht machen (Spiele, ua), gibt es schon eine gewisse "Unzufriedenheit".
Nun meine eigentliche Frage: Welche Alternativen oder Zusätze gibt es? Wir wollen den Internetzugang weder einschränken noch reglementieren - halt nur die Protokollierung, welche Zugriffe, wann stattgefunden haben und das eindeutig einem Benutzer zuweisen (also auch keine Inhalte).
Vielen Dank
Das klassische Szenario: Ein Wohnheim (ca. 30 TN) hat einen Internetanschluss. Nun muss protokolliert werden, wer sich, zu welcher Zeit, wo befunden hat.
Nun haben wir das mit Squid gelöst: Ein Rechner (Intel Atom, 2GB RAM, SSD) mit openSuse, ipTables, Squid und DHCP.
Funktioniert im Grunde ziemlich gut. Nun gibt es allerdings durch die Benutzung eines Proxies bestimmte Einschränkungen. D.h. die verwendeten Programme müssen einen Proxy unterstützen. Da das aber einige nicht machen (Spiele, ua), gibt es schon eine gewisse "Unzufriedenheit".
Nun meine eigentliche Frage: Welche Alternativen oder Zusätze gibt es? Wir wollen den Internetzugang weder einschränken noch reglementieren - halt nur die Protokollierung, welche Zugriffe, wann stattgefunden haben und das eindeutig einem Benutzer zuweisen (also auch keine Inhalte).
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175978
Url: https://administrator.de/contentid/175978
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
7 Kommentare
Neuester Kommentar
Eigentlich gibt es keine sinnvolle Alternative dazu. Möglich wäre noch ein Captive Portal:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
hat aber den Nachteil das sich alle Nutzer immer erst anmelden müssen vor Ihrer Internet Sitzung. Zudem bekommst du nicht die Granularität in der Überwachung wie beim Squid.
Einziger Vorteil wäre dann nur das du freier mit den Protokollen spielen kannst die durchdürfen und nicht. Käme also nur den Spielefreaks entgegen...
pfSense bietet allerdings die Möglichkeit von PBR (Policy based Routing).
Du könntest also zwangsweise HTTP und HTTPS filtern und auf den Proxy redirecten. Aller anderer Traffic wird transparent von der Firewall geroutet. Das macht es leichter für die Spielefraktion, und du verlierst nicht deinen Proxy.
Allerdings musst du auch ein CP einrichten, denn wenn jemand nur spielt oder mailt geht er dann ncht über den Proxy und würde von der Dokumentation nicht erfasst. Ohne CP gehts also nicht. Das könnte man aber sehr bequem dann über FreeRadius auf dem OpenSuSE Rechner lösen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
hat aber den Nachteil das sich alle Nutzer immer erst anmelden müssen vor Ihrer Internet Sitzung. Zudem bekommst du nicht die Granularität in der Überwachung wie beim Squid.
Einziger Vorteil wäre dann nur das du freier mit den Protokollen spielen kannst die durchdürfen und nicht. Käme also nur den Spielefreaks entgegen...
pfSense bietet allerdings die Möglichkeit von PBR (Policy based Routing).
Du könntest also zwangsweise HTTP und HTTPS filtern und auf den Proxy redirecten. Aller anderer Traffic wird transparent von der Firewall geroutet. Das macht es leichter für die Spielefraktion, und du verlierst nicht deinen Proxy.
Allerdings musst du auch ein CP einrichten, denn wenn jemand nur spielt oder mailt geht er dann ncht über den Proxy und würde von der Dokumentation nicht erfasst. Ohne CP gehts also nicht. Das könnte man aber sehr bequem dann über FreeRadius auf dem OpenSuSE Rechner lösen.
Wenn ich das richtig verstehe, bringt pfSense das CP schon mit. Da es sich um ein kabelgebundenes LAN handelt, brauch ich da auch einen RADIUS Server oder macht pfSense das auch mit?
Wenn der Squid als transparenter Proxy bestehen bleiben soll, kann der dann auch auf der gleichen Kiste laufen?
Wenn der Squid als transparenter Proxy bestehen bleiben soll, kann der dann auch auf der gleichen Kiste laufen?
Nein pfSense und/oder Monowall machen das auch von sich aus, da du dort eine Userverwaltung auch gleich mit drauf hast. Steht auch so im Tutorial was du vermutlich leider nicht gelesen hast 
Ja, der Squid kann auch auf der gleichen Kiste als transparenter Proxy laufen aber dann solltest du immer pfSense verwenden, dann das ermöglicht dann das Laden des Squid als Plugin auf dem Firewall Router.
So hast du dann alles in einer Box.
Ja, der Squid kann auch auf der gleichen Kiste als transparenter Proxy laufen aber dann solltest du immer pfSense verwenden, dann das ermöglicht dann das Laden des Squid als Plugin auf dem Firewall Router.
So hast du dann alles in einer Box.
Doch ich habe es gelesen, nur vermutlich nicht ganz verstanden, ich hatte die Beschreibungen des Alix gedanklich ausgeblendet, da ich bereits einen guten Server für diese Aufgabe habe und dachte, pfSense könnte unter suse laufen.
Soweit ich es jetzt hinbekomme, bringt pfSense seine Linuxdistribution bereits mit (FreeBSD).
D.h. es müsste das Suse von der Kiste runter und pfSense drauf?
Soweit ich es jetzt hinbekomme, bringt pfSense seine Linuxdistribution bereits mit (FreeBSD).
D.h. es müsste das Suse von der Kiste runter und pfSense drauf?
Ja, ein ALIX ist dafür ungeeignet wenn du den Proxy mit auf der Maschine laufen lässt. Auf dem pfSense Image für embedded HW ist das nicht möglich....logisch, weil der einen Flash Speicher hat !
Ja, richtig, das Install Image hat alles schon mit an Bord ! Du müsstest mal eine olle Platte organisieren und die kurz umbauen in den bestehenden Rechner, dann könntest du das Test installieren ohne die aktuelle Installation zu gefährten.
Ja, richtig, das Install Image hat alles schon mit an Bord ! Du müsstest mal eine olle Platte organisieren und die kurz umbauen in den bestehenden Rechner, dann könntest du das Test installieren ohne die aktuelle Installation zu gefährten.
Ich habe mir das schon mal mit einer VM simuliert. Sieht ziemlich gut aus. Auch die Clients kommen - vor allem ohne Installation und Konfiguration, prima damit zurecht.
Meine aktuelle Idee ist, den Proxy zu belassen und einen SyslogD zu installieren, um die Logs der Alix gleich da drauf zu speichern. Dann müsste man nur noch selten an die Alix dran.
Welche Alix ist denn empfehlenswert für pfSense? Gigabit LAN - braucht das eher eine größere?
PS: Ich bin echt begeistert von pfSense. Das ist eine runde Sache und genau massgeschneidert für diese Anforderung, vor allem auf der Alix sehr preiswert in der Anschaffung und vor allem auch im Betrieb. Bin echt mal gespannt, die im Livebetrieb zu sehen.
Meine aktuelle Idee ist, den Proxy zu belassen und einen SyslogD zu installieren, um die Logs der Alix gleich da drauf zu speichern. Dann müsste man nur noch selten an die Alix dran.
Welche Alix ist denn empfehlenswert für pfSense? Gigabit LAN - braucht das eher eine größere?
PS: Ich bin echt begeistert von pfSense. Das ist eine runde Sache und genau massgeschneidert für diese Anforderung, vor allem auf der Alix sehr preiswert in der Anschaffung und vor allem auch im Betrieb. Bin echt mal gespannt, die im Livebetrieb zu sehen.
Willkommen im Club ! 
Eine ALIX 2D13 reicht dafür völlig. Den Syslog kannst du mit auf dem Proxy einrichten, das wäre am einfachsten.
Hier findest du noch weitere Infos dazu die die meisten Fragen beantworten:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Eine ALIX 2D13 reicht dafür völlig. Den Syslog kannst du mit auf dem Proxy einrichten, das wäre am einfachsten.Hier findest du noch weitere Infos dazu die die meisten Fragen beantworten:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
