12
fli4l mit SQUID auf anderem Server, access.log zeigt nur Router-IP
Hi,
für ein kleines Unternehmen muss ich einen Proxy einrichten der alles
protokolliert, was die Mitarbeiter ansurfen.
Habe mir gedacht, dass ich das mit Squid mache und mit Sawmill dann
auswerte.
Da der fli4l nur auf einem Thin-Client auf einer Compact-Flash-Karte
läuft, wollte ich nicht das Squid-Addon verwenden, sondern ein
Debian-Server mit Squid.
Soll ein transparenter Proxy ohne Authentifizierung sein.
Ich verwende fli4l 3.2.3.
das hab ich bisher in base.txt eingetragen:
PF_FORWARD_N='5'
PF_FORWARD_1='tmpl:samba IP_NET_1 DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='tmpl:samba IP_NET_2 DROP'
PF_FORWARD_4='IP_NET_2 ACCEPT'
PF_FORWARD_5='tmpl:http @proxy ACCEPT'
PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
PF_POSTROUTING_3='any @proxy:3128 SNAT:IP_NET_1_IPADDR'
PF_PREROUTING_N='2'
PF_PREROUTING_1='tmpl:http @proxy ACCEPT'
PF_PREROUTING_2='tmpl:http IP_NET_1 DNAT:@proxy:3128'
Das hab ich alles aus der fli4l-Dokumentation und hat, nach dem ich im
Squid in der Config bei der Port-Angabe transparent dahinter geschrieben
habe, auch funktioniert. Davor gabs im Browser ne Fehlermeldung. (könnte
man in der Doku eigentlich erwähnen, dass das nötig ist.)
Das Problem ist jetzt nur, dass in der squid/access.log auf dem
Debian-Server immer der Router als Absender steht. In meinem Fall also
192.168.1.1. Da aber Protokolliert werden soll, welcher PC auf welcher
Seite war, sollte natürlich die IP des Rechner da stehen.
Ich will auf jedenfall einen transparenten Proxy, da ich keine Lust habe
auf allen Rechnern, in jedem Benutzerkonto, in jedem Browser einen Proxy
einzugeben.
Habt ihr für diese Problem eine Lösungsidee?
Könnte man Vielleicht doch das Squid-Addon verwenden und den Bereich wo
Squid schreibt per Samba oder NFS von einem Server mounten?
Was ist dann, wenn der Server down wäre?
Wäre ein Thin-Client mit 250mhz überhaupt schnell genug für 25 Mitarbeiter?
Gruß
Manuel
für ein kleines Unternehmen muss ich einen Proxy einrichten der alles
protokolliert, was die Mitarbeiter ansurfen.
Habe mir gedacht, dass ich das mit Squid mache und mit Sawmill dann
auswerte.
Da der fli4l nur auf einem Thin-Client auf einer Compact-Flash-Karte
läuft, wollte ich nicht das Squid-Addon verwenden, sondern ein
Debian-Server mit Squid.
Soll ein transparenter Proxy ohne Authentifizierung sein.
Ich verwende fli4l 3.2.3.
das hab ich bisher in base.txt eingetragen:
PF_FORWARD_N='5'
PF_FORWARD_1='tmpl:samba IP_NET_1 DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='tmpl:samba IP_NET_2 DROP'
PF_FORWARD_4='IP_NET_2 ACCEPT'
PF_FORWARD_5='tmpl:http @proxy ACCEPT'
PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
PF_POSTROUTING_3='any @proxy:3128 SNAT:IP_NET_1_IPADDR'
PF_PREROUTING_N='2'
PF_PREROUTING_1='tmpl:http @proxy ACCEPT'
PF_PREROUTING_2='tmpl:http IP_NET_1 DNAT:@proxy:3128'
Das hab ich alles aus der fli4l-Dokumentation und hat, nach dem ich im
Squid in der Config bei der Port-Angabe transparent dahinter geschrieben
habe, auch funktioniert. Davor gabs im Browser ne Fehlermeldung. (könnte
man in der Doku eigentlich erwähnen, dass das nötig ist.)
Das Problem ist jetzt nur, dass in der squid/access.log auf dem
Debian-Server immer der Router als Absender steht. In meinem Fall also
192.168.1.1. Da aber Protokolliert werden soll, welcher PC auf welcher
Seite war, sollte natürlich die IP des Rechner da stehen.
Ich will auf jedenfall einen transparenten Proxy, da ich keine Lust habe
auf allen Rechnern, in jedem Benutzerkonto, in jedem Browser einen Proxy
einzugeben.
Habt ihr für diese Problem eine Lösungsidee?
Könnte man Vielleicht doch das Squid-Addon verwenden und den Bereich wo
Squid schreibt per Samba oder NFS von einem Server mounten?
Was ist dann, wenn der Server down wäre?
Wäre ein Thin-Client mit 250mhz überhaupt schnell genug für 25 Mitarbeiter?
Gruß
Manuel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 118996
Url: https://administrator.de/contentid/118996
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Ich glaube dein Vorhaben ist illegal und Hilfe dazu wäre Beihilfe zu einer Straftat!
Schäm dich!
Schäm dich!
Ich glaube nicht!
Der Datenschutzbeauftrage der Firma sagte, dass das nötig ist.
Die Mitarbeiter unterschreiben einen Vertrag, dass das Privat surfen nicht erlaubt ist und, dass das Internet deshalb Protokolliert wird.
Wenn ein Mitarbeiter jetzt irgend etwas anstellt (Kinderpornos...), muss ja herausgefunden werden, welcher Mitarbeiter dahinter steckt, da sonst der Geschäftsführer schuld ist.
hier ein Ausschnitt der Betriebsvereinbarung zur Internet und E-Mail-Nutzung:
"Zum Zweck der Analayse und Korrektur technischer Fehler, der Gewährleistung der Systemsicherheit, der statischen Feststellung des Gesamtnutzungsvolumens, zu Stichproben und Missbrauchskontrolle werden die erforderlichen Daten protokolliert. Die Protokolle enthalten Angaben zu Datum und Uhrzeit, den Adressen von Absender und Empfänger sowie der übertragenen Datenmenge.
Die Durchsicht der Protokolle hinsichtlich der aufgerufenen Websites obliegt dem IT Verantwortlichen. Die Auswertung der Übersicht des Gesamtdatenvolumes erfolgt täglich, in Verdachtsfällen zusätzlich auf Anordnung des Dienstgebers.
Die Protokolldaten werden nach sechs Monaten gelöscht, wenn kein Grund zu der Annahme besteht, dass dadurch schutzwürdige Belange von Betroffenen beeinträchtigt werden."
Der Datenschutzbeauftrage der Firma sagte, dass das nötig ist.
Die Mitarbeiter unterschreiben einen Vertrag, dass das Privat surfen nicht erlaubt ist und, dass das Internet deshalb Protokolliert wird.
Wenn ein Mitarbeiter jetzt irgend etwas anstellt (Kinderpornos...), muss ja herausgefunden werden, welcher Mitarbeiter dahinter steckt, da sonst der Geschäftsführer schuld ist.
hier ein Ausschnitt der Betriebsvereinbarung zur Internet und E-Mail-Nutzung:
"Zum Zweck der Analayse und Korrektur technischer Fehler, der Gewährleistung der Systemsicherheit, der statischen Feststellung des Gesamtnutzungsvolumens, zu Stichproben und Missbrauchskontrolle werden die erforderlichen Daten protokolliert. Die Protokolle enthalten Angaben zu Datum und Uhrzeit, den Adressen von Absender und Empfänger sowie der übertragenen Datenmenge.
Die Durchsicht der Protokolle hinsichtlich der aufgerufenen Websites obliegt dem IT Verantwortlichen. Die Auswertung der Übersicht des Gesamtdatenvolumes erfolgt täglich, in Verdachtsfällen zusätzlich auf Anordnung des Dienstgebers.
Die Protokolldaten werden nach sechs Monaten gelöscht, wenn kein Grund zu der Annahme besteht, dass dadurch schutzwürdige Belange von Betroffenen beeinträchtigt werden."
Ne ne Simönchen,
so wird das nix mit dir in diesem Forum. Du schreibst nur Quark.
Die Verantwortlichen eines Unternehmens sind gesetzlich verpflichtet diese Daten zu Zwecken der möglichen Verfolgung von Straftaten 6 Monate zu speichern und diese auf richterliche Anordnung den strafverfolgenden Behörden auszuhändigen.
Ich bin ja selbst einer, aber trotzdem gebe ich dir den Rat, nicht so dick und fett aufzutragen als Frischling - du machst dich lächerlich.
Mit freundlichem Gruß
DerKroepel
so wird das nix mit dir in diesem Forum. Du schreibst nur Quark.
Die Verantwortlichen eines Unternehmens sind gesetzlich verpflichtet diese Daten zu Zwecken der möglichen Verfolgung von Straftaten 6 Monate zu speichern und diese auf richterliche Anordnung den strafverfolgenden Behörden auszuhändigen.
Ich bin ja selbst einer, aber trotzdem gebe ich dir den Rat, nicht so dick und fett aufzutragen als Frischling - du machst dich lächerlich.
Mit freundlichem Gruß
DerKroepel
NeeNee! Auch wenn wer einen Vertrag unterschreibt ist und bleibt es illegal!
Warum stelt ihr Leute ein die Kinderpornos gucken?
Habt ihr auch Terroristen beschäftigt bei denen ihr jeden Tag Leibesvisitationen macht?
Muss übrigens eine ziemlich abartige Firma sein, die privates Surfen verbieten will.
Warum stelt ihr Leute ein die Kinderpornos gucken?
Habt ihr auch Terroristen beschäftigt bei denen ihr jeden Tag Leibesvisitationen macht?
Muss übrigens eine ziemlich abartige Firma sein, die privates Surfen verbieten will.
Es wird ja nur Verboten, dass der Geschäftsführer nicht drann ist, wenn was ist.
Es wird natürlich, wenn es nicht überhand nimmt, geduldet. Aber trotzdem müssen wir 6 Monate alles Protokollieren, wie DerKroepel schon gesagt hat.
Lieber wären mir jetzt technische Hilfen und keine Diskussionen ob es erlaubt ist oder nicht.
Wir müssen es gesetzlich machen, da führt wahrscheinlich kein Weg drann vorbei.
Es wird natürlich, wenn es nicht überhand nimmt, geduldet. Aber trotzdem müssen wir 6 Monate alles Protokollieren, wie DerKroepel schon gesagt hat.
Lieber wären mir jetzt technische Hilfen und keine Diskussionen ob es erlaubt ist oder nicht.
Wir müssen es gesetzlich machen, da führt wahrscheinlich kein Weg drann vorbei.
Du als Porno-DAU, wärest dch der erste Betroffene von der Aktion, wenn du wirklich in einer Firma arbeiten würdest.
Nochmal: Es gibt keine gesetzliche Grundlage des Auspionieren privaten Vehalten von Mitarbeitern. Auch zweifelhafte Betriebsvereinbarugen gestatten dies nicht.
Geh weiter Pornos gucken!
Nochmal: Es gibt keine gesetzliche Grundlage des Auspionieren privaten Vehalten von Mitarbeitern. Auch zweifelhafte Betriebsvereinbarugen gestatten dies nicht.
Geh weiter Pornos gucken!
Natürlich muss erst geklärt werden ob es erlaubt ist.
Habt ihr noch nichts aus den Skandalen Telekom, Bahn oder Lidl gelernt?
Wenn ihr denn angeblich 25 Mitarbeiter habt, dann ist der nächste Anzeige eure, wenn die Sache auffliegt.
Jede seriöse Überwachungs-Software verweist auf die strengen Persönlichkeitsrechte in europäischen Staaten.
Sollte eure Firma ausserhalb Europas sein, wäre dein Ansinnen vielleicht nur noch moralisch verwerflich.
Habt ihr noch nichts aus den Skandalen Telekom, Bahn oder Lidl gelernt?
Wenn ihr denn angeblich 25 Mitarbeiter habt, dann ist der nächste Anzeige eure, wenn die Sache auffliegt.
Jede seriöse Überwachungs-Software verweist auf die strengen Persönlichkeitsrechte in europäischen Staaten.
Sollte eure Firma ausserhalb Europas sein, wäre dein Ansinnen vielleicht nur noch moralisch verwerflich.
Ich denke nicht, dass der Datenschutzbeauftrage für die Firma etwas in die Internet-Vereinbarung geschrieben hat, was illegal ist.
Die Internet-provider speichern übrigens auch alles was du ansurfst. Und die kennen halt nur die externe IP des Firmenanschlusses. Und wer muss dann gerade stehen wenn irgendjemand in der Firma was anstellt? Der Geschäftsführer natürlich.
Was würdest du denn als Geschäftsführer tun?
Wenn du das surfen erlaubst, bist du gesetzlich TK-Anbieter für die Mitarbeiter. Also muss man es vertraglich verbieten, es aber dulden, solang es misbraucht wird.
Es geht auch garnicht darum das wir den Mitarbeiter misstrauen. Es wird ganz sicher nichts passieren. Es ist aber die Pflicht der Firma das zu Protokollieren!
Die Fälle bei der Deutschen Bahn und Lidl sind ja ganz andere Dinge! Da wurde mit Kameras überwacht oder Mitarbeiterdaten mit Geschäftspartnern abgeglichen usw.
Die Internet-provider speichern übrigens auch alles was du ansurfst. Und die kennen halt nur die externe IP des Firmenanschlusses. Und wer muss dann gerade stehen wenn irgendjemand in der Firma was anstellt? Der Geschäftsführer natürlich.
Was würdest du denn als Geschäftsführer tun?
Wenn du das surfen erlaubst, bist du gesetzlich TK-Anbieter für die Mitarbeiter. Also muss man es vertraglich verbieten, es aber dulden, solang es misbraucht wird.
Es geht auch garnicht darum das wir den Mitarbeiter misstrauen. Es wird ganz sicher nichts passieren. Es ist aber die Pflicht der Firma das zu Protokollieren!
Die Fälle bei der Deutschen Bahn und Lidl sind ja ganz andere Dinge! Da wurde mit Kameras überwacht oder Mitarbeiterdaten mit Geschäftspartnern abgeglichen usw.
Du merkst doch wirklich keine Einschläge! Natürlich ist das Ausspionieren des privaten Verhaltens der Mitarbeiter verboten JAAAHHHH da hast du absolut recht Ja Ja Ja !!!!!
Und jetzt nochmal: Das ganze findest du unter dem Stichwort Vorratsdatenspeicherung - SPEICHERUNG - NICHT SPIONAGE- es ist uns als Admins und auch dem GF selbstverständlich strengstens verboten diese Daten irgendwie personenbezogen auszuwerten - dass dürfen nur die Strafverfolgungsbehörden in einem begründeten Verdachtsfall NACH richterlicher Anordnung. Aber wir müssen sie 6 Monate lang vorhalten !!!
By the way liebe Simone - alle Texte, jedweder Zugriff auf irgendeine Internetseite, jedes Chat-Gesabber, jede email die über einen Internetprovider versendet wird, ist gnadenlos und völlig legal 6 Monate lang nachvollziehbar - Mindestens - andere Länder andere Sitten sage ich nur - auch deine verbalen Ausfälle in diesem Forum werden wahrscheinlich ewig erhalten bleiben.
Guckst du hier : http://de.wikipedia.org/wiki/Vorratsdatenspeicherung
Versuch doch bitte in Zukunft wenigstens zu verstehen, welches Problem ein Fragesteller hat und laß die Pöbeleien - so anonym wie du denkst, geht es hier nicht zu! Benimm dich !
Mit immer noch freundlichen Grüßen
DerKroepel
P.S.: Hmmm, kurz nach elf die erste Antwort - schwänzt du etwa die Schule ??? Ach ne - Niedersachsen hat ja schon Sommerferien !!!
Und jetzt nochmal: Das ganze findest du unter dem Stichwort Vorratsdatenspeicherung - SPEICHERUNG - NICHT SPIONAGE- es ist uns als Admins und auch dem GF selbstverständlich strengstens verboten diese Daten irgendwie personenbezogen auszuwerten - dass dürfen nur die Strafverfolgungsbehörden in einem begründeten Verdachtsfall NACH richterlicher Anordnung. Aber wir müssen sie 6 Monate lang vorhalten !!!
By the way liebe Simone - alle Texte, jedweder Zugriff auf irgendeine Internetseite, jedes Chat-Gesabber, jede email die über einen Internetprovider versendet wird, ist gnadenlos und völlig legal 6 Monate lang nachvollziehbar - Mindestens - andere Länder andere Sitten sage ich nur - auch deine verbalen Ausfälle in diesem Forum werden wahrscheinlich ewig erhalten bleiben.
Guckst du hier : http://de.wikipedia.org/wiki/Vorratsdatenspeicherung
Versuch doch bitte in Zukunft wenigstens zu verstehen, welches Problem ein Fragesteller hat und laß die Pöbeleien - so anonym wie du denkst, geht es hier nicht zu! Benimm dich !
Mit immer noch freundlichen Grüßen
DerKroepel
P.S.: Hmmm, kurz nach elf die erste Antwort - schwänzt du etwa die Schule ??? Ach ne - Niedersachsen hat ja schon Sommerferien !!!
Hallo MaN0258,
seltsamer Nick - hat das irgendeine Bedeutung und verräts du die?
Schau mal hier nach: http://de.wikipedia.org/wiki/Vorratsdatenspeicherung
Ich denke, da ist eine Menge erklärt - nichts desto trotz, steht man bei dieser Aufgabenstellung als Admin ziemlich blöd da: man kann alles - man darf nichts - und trotzdem soll man alles!
Meist ist der Chef nicht schlauer als Simone - leider von der anderen Seite - er will mehr als man geben kann und Simone will weniger als man geben muß.
Mit mitfühlenden Grüßen
DerKroepel
seltsamer Nick - hat das irgendeine Bedeutung und verräts du die?
Schau mal hier nach: http://de.wikipedia.org/wiki/Vorratsdatenspeicherung
Ich denke, da ist eine Menge erklärt - nichts desto trotz, steht man bei dieser Aufgabenstellung als Admin ziemlich blöd da: man kann alles - man darf nichts - und trotzdem soll man alles!
Meist ist der Chef nicht schlauer als Simone - leider von der anderen Seite - er will mehr als man geben kann und Simone will weniger als man geben muß.
Mit mitfühlenden Grüßen
DerKroepel
Liebe Simone,
ich bin Admin eines mittelständischen Unternehmens und analysiere laufend den Traffic ins Internet unserer Mitarbeiter (selbstverständlich nur qualitativ /quantitativ). Ich mache das automatisiert, so dass ich frühzeitig erkennen kann, ob es Engpässe, Zugriffsprobleme, fehlerhafte Spams usw., usf. gibt - Ich gehe da jetzt nicht in die Einzelheiten, denn es ist offensichtlich, dass dies deinen Horizont (entschuldige) sprengen würde.
Fakt ist, dass im Schnitt ca. 5-10% des Traffics sicher als "privater Internet-Traffic" erkennbar ist. Mir ist das eigentlich völlig egal - die Leute sollen machen was sie wollen - solange es legal ist und sie ihre Arbeit vernünftig erledigen.
Unter dem o.a. privaten Traffic ist eine Menge "Porno" dabei - na und? Wie gesagt - wenn unser Buchhalter nach dem Anschauen einiger anregender Clips entsaftet von der Toilette kommt und mit 120% Leistungsfähigkeit an der Bilanz weiter arbeitet, habe weder ich noch meine GL damit ein Problem - ja, ja, natürlich dürfen das keine illegalen Inhalte sein - deswegen ja die Vorratsdatenspeicherung und die Vertragsklauseln und die Betriebsvereinbarungen und und und ....
Es ist ein sehr komplexes Thema das lange noch nicht ausdiskutiert ist und in diesem Forum - wie schon - gesagt - auch deplaziert ist.
Mit immer noch freundlichen Grüßen
DerKroepel
P.S.: Da dich ja "Porno" irgendwie stimuliert: Meine Frau und ich schauen gerne mal gemeinsam einen Porno - meist nicht sehr lange - irgendwie werden schnell andere Dinge wichtiger, als Video gucken - aber auch das ist ein Thema, welches in ein anderers Forum gehört! Also - bitte Simone - verteufele "Pornos" bitte in anderen Foren und engagiere dich hier für qualifizierten Support - danke!
ich bin Admin eines mittelständischen Unternehmens und analysiere laufend den Traffic ins Internet unserer Mitarbeiter (selbstverständlich nur qualitativ /quantitativ). Ich mache das automatisiert, so dass ich frühzeitig erkennen kann, ob es Engpässe, Zugriffsprobleme, fehlerhafte Spams usw., usf. gibt - Ich gehe da jetzt nicht in die Einzelheiten, denn es ist offensichtlich, dass dies deinen Horizont (entschuldige) sprengen würde.
Fakt ist, dass im Schnitt ca. 5-10% des Traffics sicher als "privater Internet-Traffic" erkennbar ist. Mir ist das eigentlich völlig egal - die Leute sollen machen was sie wollen - solange es legal ist und sie ihre Arbeit vernünftig erledigen.
Unter dem o.a. privaten Traffic ist eine Menge "Porno" dabei - na und? Wie gesagt - wenn unser Buchhalter nach dem Anschauen einiger anregender Clips entsaftet von der Toilette kommt und mit 120% Leistungsfähigkeit an der Bilanz weiter arbeitet, habe weder ich noch meine GL damit ein Problem - ja, ja, natürlich dürfen das keine illegalen Inhalte sein - deswegen ja die Vorratsdatenspeicherung und die Vertragsklauseln und die Betriebsvereinbarungen und und und ....
Es ist ein sehr komplexes Thema das lange noch nicht ausdiskutiert ist und in diesem Forum - wie schon - gesagt - auch deplaziert ist.
Mit immer noch freundlichen Grüßen
DerKroepel
P.S.: Da dich ja "Porno" irgendwie stimuliert: Meine Frau und ich schauen gerne mal gemeinsam einen Porno - meist nicht sehr lange - irgendwie werden schnell andere Dinge wichtiger, als Video gucken - aber auch das ist ein Thema, welches in ein anderers Forum gehört! Also - bitte Simone - verteufele "Pornos" bitte in anderen Foren und engagiere dich hier für qualifizierten Support - danke!
hat mir jetzt jemand noch einen Tipp, wie man das lösen kann?
Kann man irgendwie das umleiten auf Squid in fli4l loggen?
Dann hätte ich eine Logdatei von Squid mit den webseiten und eine Log vom Router wo man dann hoffentlich die ips der Rechner sieht.
Kann man irgendwie das umleiten auf Squid in fli4l loggen?
Dann hätte ich eine Logdatei von Squid mit den webseiten und eine Log vom Router wo man dann hoffentlich die ips der Rechner sieht.
