Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anfragen nur von besitmmten IPs auflösen

Mitglied: Jabberwock

Jabberwock (Level 1) - Jetzt verbinden

24.10.2006, aktualisiert 25.10.2006, 4541 Aufrufe, 13 Kommentare

Hi, ich hoffe ihr könnt mir ein bisschen helfen. Ich habe mir ein Projekt aufschwatzen lassen und nun komme ich nicht weiter. Bin ja auch noch in der Ausbildung, da kann das ja mal passieren.

Ich möchte, dass alle Anfragen die an den DNS gehen bei mir auf dem Lokalen Webserver landen.
Nur Anfragen von bestimmten IPs dürfen aufgelöst werden, leider werden die aber vom DHCP vergeben und da habe ich kein Einfluss drauf. Also müssten die erlaubten IPs auch noch schnell mit einem Script oder so änderbar sein.

Laufen soll das ganze auf einem Ubuntu Server 6

Hab ihr eine Idee wie man so was lösen könnte?
Über Tipps und Radschläge wäre ich euch sehr dankbar.

Mfg
Jabberwock
Mitglied: 27119
24.10.2006 um 05:50 Uhr
Die DNS Anfragen gehen an den DNS Server, daher kann dein Webserver sie auch nicht abfangen. (UDP Port 53). Ist ja kein Broadcast sondern Unicast.
Wenn die Clients (oder Teile davon) keine DNS Anfragen mehr stellen können, können sie sich auch nicht mehr in der domäne anmelden und vieles mehr.
Der Sinn will sich mir nciht ganz erschliessen.
Gibt es einen?
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 06:21 Uhr
Hm, ich weiß jetzt nicht so ganz was du meinst.
Hab mich vielleicht auch nicht so gut ausgedrückt.

Ich habe ein LAN und jedes mal wenn ein Client nach irgendeiner Internetadresse "www.domain.de" fragt, soll er auf 192.168.1.1 bei meinem Webserver landen der ihm dann die Index vom Intranet anzeigt. So das der Client nicht ins Internet kommen kann.
Aber ein paar Clients dürfen ganz normal die Adressen auflösen und die sollen dann auch die richtigen Seiten angezeigt bekommen.

Geht so was überhaupt?
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 06:51 Uhr
Hallo!

Also da denke ich ist der DNS der falsche Ansatz.
Ich würde das ganze mit nem Proxy machen und ACLs setzen. Weiterhin würde ich eher LDAP nutzen und die ACLs auf die User setzen, nicht auf die IPs. Allerdings lassen sich die ACLs auch auf IPs anwenden.

Auf dem Proxy kannst Du dann ja imho explizit sagen, welcher User auf welche Seiten darf, und wer nicht. Wenns denn mal nen deny gibt kannst Du die entsprechende Fehlerseite auf den von Dir angesprochenen Webserver umleiten, bzw. direkt den Index des Intranets anzeigen lassen.

Gruß
Xadis
Bitte warten ..
Mitglied: cykes
24.10.2006 um 08:48 Uhr
Hi,

alternativ zu der Lösung von Xadis kannst Du den Clients, die ins Internet dürfen auch über DHCP immer die gleiche IP geben lassen, dazu vergibst Du für die MAC Adressen der
Netzwerkkarten dieser Clients immer die gleich IP per DHCP.

Dann kannst Du mit einem Proxy, z.B. Squid unter Linux, entsprechende Regeln einführen,
einmal die globale, dass alle auf der Intranet- bzw. Firmenhomepage landen und eine
Ausnahme für die Clients, die ins Internet dürfen.

Über den DNS Server funktioniert das nicht.

Gruß

cykes
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 09:40 Uhr
Moin,

ich favoritisiere auch die IP-Adressreservierung anhand der MAC. Wenn du eine Domain hast, kannst du ja auch einfach eine Startseite per GPO definieren! Und die Internetoptionen sperren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: 27119
24.10.2006 um 12:48 Uhr
Nunja, DHCP hat sich leider noch nie zur Durchsetzung von Richtlinien geeignet.
Um sich statisch eine freie IP selbst zu geben muss man kein Hacker sein.
Und die User sind sehr findig, wenn es um freies Surfen geht.
Vom Aufwand ganz zu schweigen.

Meine Meinung.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:04 Uhr
also ich gehe hier einfach mal von einer domain aus. und dort schränke ich die nutzer dementsprechend ein. sie kommen nicht in die TCP/IP Eigenschaften oder auf die shell. und dann müssen sie schon sehr ambitioniert sein.
Bitte warten ..
Mitglied: Jabberwock
24.10.2006 um 13:50 Uhr
Hi, Danke schon mal für die vielen Antworten. Scheint so als wenn ich das noch mal überdenken muss.

DHCP kann ich leider nicht ändern und wenn ich jedem über die MAC eine zuteilen lasse dann kann ich auch gleich statische verwänden. Es sind halt viele wechselnde Clients (Wlan) und auch immer andere die in Internet dürfen. Die melden sich dann über die Webpage bei dem Radiusserver an und dann dürfen die ins Intenet. Solange sie nicht angemeldet sind muss immer die Anmelde Seite im Browser erscheinen, egal was eingegeben wird.
Bitte warten ..
Mitglied: hackfresse1703
24.10.2006 um 13:57 Uhr
okay wenn du am dhcp nicht darfst isses schlecht, dann doch besser statisch, und wenn die clients domänenmitglieder sind dann per gpo die startseite definieren.


Stefan Tolksdorf
Bitte warten ..
Mitglied: Xadis
24.10.2006 um 18:01 Uhr
Hmm.. Gibt es denn irgendwelche greifbaren Kriterien an denen festgemaht wird, wann ein User/PC ins Inet darf und wann nicht?

Das klingt so, als wärst Du irgendwo beschäftigt, wo viel Durchgangsverkehr herrscht..
Bitte warten ..
Mitglied: Guenni
24.10.2006 um 20:11 Uhr
@Jabberwock

Hi,

Voraussetzung für folg. Lösung ist, dass die Clients über deinen Server ins Internet
gehen müssen, das heißt, sie können weder einen Router erreichen, noch
ist auf deinem Server Routing aktiviert.

Du installierst auf deinem Server SQUID, und über den Proxy gehen
deine Clients ins Internet(oder auch nicht :-o ? )

In den Internetoptionen deiner Clients stellst du
manuelle Proxy-Konfiguration ein:

Http-Proxy: Servername_oder_ip
Port: 3128 // Squid-Standard

Nun zu Squid

Erstelle im Verz. /etc/squid zwei Dateien:

1. Datei "ERR_ACCES_DENIED", Inhalt....
01.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
02.
<HTML><HEAD>
03.
<meta http-equiv="refresh" content="0; url=http://Adresse_deines_Webservers">
04.

05.
</HEAD>
06.
<BODY>
07.
Der Zugriff zum Internet ist ihnen nicht gestattet.
08.

09.
Falls die Umleitung bei ihnen nicht funkioniert,
10.
<a href="http://Adresse_deines_Webservers">Zur Startseite</a>
WICHTIG: Kein </body>, kein </html>, das macht Squid
selber.

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

2. Datei "internet.src", Inhalt…
01.
#Format IP-Adresse/Subnetzmaske
02.

03.
192.168.xxx.xx1/255.255.255.255 // Ja, viermal 255 ist richtig!!!!
04.
192.168.xxx.xx2/255.255.255.255
05.
usw.
Das sind die Clients, die ins Internet dürfen

Als nächstes werden in der Datei /etc/squid/squid.conf die
Zugriffe definiert:

Suche in der Datei nach ACL bzw. http_access, da wirst du
irgendwo fündig, und da definierst du einfach deine Zugriffsregel:

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Grüße
Günni
Bitte warten ..
Mitglied: Jabberwock
25.10.2006 um 17:35 Uhr
Hi, super vielen Dank Günni.
Das hört sich viel versprechend an. Werde das gleich mal (allerdings nur zu Hause) testen.
Vielen Dank auch allen anderen die geantwortet haben. Ohne euch stände ich ganz schön auf dem Schlauch. Scheint hier ein sehr kompetentes Forum zu sein. Denke hier werde ich bleiben.

Dankeschööööön

mfg
Jabberwock
Bitte warten ..
Mitglied: Guenni
25.10.2006 um 18:07 Uhr
@Jabberwock,

Hi,

zwei Sachen noch:

Zu....

Dann suche in der Datei squid.conf nach "error_directory"
Stell' den Pfad um auf dein Squidverzeichnis.

.... hab' ich festgestellt:

Jetzt gibt es ja im Squidverzeichnis nur diese eine Datei mit
der Weiterleitung zum lokalen Webserver.

Ich habe natürlich meinen lokalen Webserver lt. meiner Anleitung
konfiguriert, um sicher zu sein, dass es funkt..

Gebe ich nun eine Adresse ein, die nicht existiert,
so ist dies ja keine Zugriffsverletzung, also holt Squid sich anscheinend
aus seinem Default-Verzeichnis die richtige Seite raus und es gibt keine
Weiterleitung, sondern eine Fehlermeldung. Das war's.

Zu....

acl all src 0/0
acl local dst 192.168.xxx.0/24 --> dein LAN
acl internet src "/etc/squid/internet.src" --> Diese Clients dürfen ins Internet
http_access allow local --> Zugriff zum Lan für Alle
http_access allow internet --> Zugriff aus's Internet
http_access deny all --> Alle anderen dürfen nix

Mein Serversystem ist Debian 3.0 Sarge.
Installiere ich Squid, so ist erstmal grundsätzlich kein Zugriff
möglich, auch nicht lokal, ich weiß nicht, wie das bei Ubuntu ist.

Die letzte Zeile http_access deny all ist aber auf jeden Fall
schon da, nicht, dass du die doppelt schreibst.

Vielleicht hast du's aber schon selber festgestellt. Wie dem auch sei,
wollte dir nur noch 'nen Hinweis geben.

Viel Erfolg beim Testen.

Grüße
Günni
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Proxmox WAN IPs
gelöst Frage von sebastian2608Router & Routing13 Kommentare

Hallo Leute, Ich habe ein /27 Subnet welches ich via address 213.80.0.2 netmask 255.255.255.224 gateway 213.80.0.1 auf dem Node ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
gelöst Frage von Alex29Netzwerkgrundlagen13 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...

Netzwerkmanagement
Hosten mehrerer statischer IPs
gelöst Frage von ChrisNeumNetzwerkmanagement15 Kommentare

Hallo alle zusammen, Wir hatten bis jetzt eine statische IP Adresse die wir über eine FritzBox hosten. Jetzt haben ...

Switche und Hubs
Welche IPs am Switchport
Frage von rudeboySwitche und Hubs19 Kommentare

Hallo zusammen, folgende Konstellation: HP-Switche HP 2920-48G-POE+ Switch (J9729A) HP 2530-48G-PoE+-2SFP+ Switch (J9853A) aktuellste Firmware POE-IP-Telefone und dahinter die ...

Neue Wissensbeiträge
Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 1 TagInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 2 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 4 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Sicherheit

Wikileaks-Gründer Julian Assange wurde festgenommen

Information von Frank vor 7 TagenSicherheit3 Kommentare

Wikileaks-Gründer Julian Assange wurde heute in London festgenommen. Die Botschaft Ecuadors, in der er seit sieben Jahren lebte, hat ...

Heiß diskutierte Inhalte
Tipps & Tricks
Verdammt voll erwischt
Frage von AlchimedesTipps & Tricks23 Kommentare

Folgende Mail habe ich auf meinem Freenet Account erhalten: Nun folgendes Problem: 1) Ich besuche Porno Seiten yep hat ...

Drucker und Scanner
Xerox 7328 muss jeden Tag neu installert werden
Frage von PN-SchrauberDrucker und Scanner20 Kommentare

hallo, ich habe in Problem mit einem unserer Drucker. Vorweg, die meisten unserer Netzwerkdrucker laufen über einen Druckserver, dieser ...

HTML
Google maps
Frage von jensgebkenHTML20 Kommentare

Hallo Gemeinschaft, hab mal ne Frage zu Maps - habe es hinbekommen, dass ich einen iframe link erstellen kann ...

Switche und Hubs
PC Verursach Probleme im Netzwerk
gelöst Frage von spoboeSwitche und Hubs16 Kommentare

Hallo zusammen, folgene Situation macht mich inzwischen ratlos: In unserem Betrieb ist ein Rechner über die Hausverkabelung an einem ...