crescent
Goto Top

Internet Zugriff einschränken für bestimmte user bzw pc s

hallo, bin in einem autohaus tätig und aus bestimmten gründen müssen wir mehrer benutzer /pc's das internet sperren.

zum problem.

bei uns in der werkstatt wird ziemlich wild im internet gesurft, was nicht sein soll/darf. jetzt würden wir gerne die benutzer oder auch die pc's den internet zugriff einschränken, sodass diese nur noch bestimmte webseiten aufrufen können.

(leider geht hier einiges übers internet und auch einiges übers intranet, daher kann ich das gateway nicht einfach entfernen um da problem zu lösen)

als firewall nutzen wir eine sonicwall tz200, welche es teilweise ermöglicht bestimmte seiten zu sperren. leider bin ich jetzt nicht so fit in sachen "konfigurieren und warten der firewall" dass ich hier die entsprechenden einstellungen,wüsste wie ich diese setzen soltle, sodass dies geht.

ich kann die firwall warten, routen hinzufügen, user für vpn berechtigen usw. aber in sachen "user einschränken sodass diese nicht mehr ins inet kommen" bin ich ein wenig überfragt...

zum netzwerk:

herstellernetzwerk (intranet) geht über einen eigenen router (diesen kann ich nicht konfigurieren)
internet (hier hab ich zugriff und kann einstellungen verändern), hier sind auch die routen zum intranet gesetzt, dass ein ip netz zum intranet geroutet wird.

wir haben keinen proxy oder ähnliches im einsatz, weiß einer eine "einfache" möglichkeit hier die user einzuschränken?

sollten noch fragen sein bitte posten.

vielen dank für die hilfe ;)

Content-ID: 135858

Url: https://administrator.de/forum/internet-zugriff-einschraenken-fuer-bestimmte-user-bzw-pc-s-135858.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

datasearch
datasearch 12.02.2010 um 22:16:30 Uhr
Goto Top
Spontan würde mir einfallen, den entsprechenden Computern feste IP-Leasen zu verpassen und an der Firewall den Zugriff von genau diesen IP's richtung Internet zu sperren. Die IP-Adressen der Webserver die noch erreicht werden sollen, sollten dabei vor der Blockierenden Regel in der ACL auftauchen.
zipo
zipo 12.02.2010 um 22:33:35 Uhr
Goto Top
Ich kann dir da nur eins empfehlen, konfiguriere dir einen Squid Proxyserver inklusive Squidguard.

Das sollte für jemanden der ein Netz betreut kein Problem sein.
bstefan82
bstefan82 12.02.2010 um 22:58:19 Uhr
Goto Top
Ohne Proxy geht nur Internet an oder aus....
dog
dog 13.02.2010 um 00:44:14 Uhr
Goto Top
Ich würde den ISA-Server benutzen.
Der kann gegen AD zumindest Domain-User korrekt identifizieren face-smile

Ohne Proxy geht nur Internet an oder aus....

Die Aussage ist natürlich vollkommener Quark.
bstefan82
bstefan82 13.02.2010 um 00:58:38 Uhr
Goto Top
Ok, kenne mich zwar nicht mit der Sonicwall aus, aber ich würde nen Gehalt darauf verwetten, das da kein ISA drauf läuft...

So. Und nu nehmen wir mal den ISA Server .... was beinhaltet der unter anderem? Richtig. Nen Proxy....

Sicher man könnte FW Rules erstellen die bestimmte websiten (IP) zulassen, allerdings scheidet das wohl aus da z.b. www.google.de nicht nur eine IP hat...

Meine Aussage ist zwar sehr allgemein, aber ich denke die trifft den Kern der Sache ganz gut.
dog
dog 13.02.2010 um 02:52:26 Uhr
Goto Top
Sicher man könnte FW Rules erstellen die bestimmte websiten (IP) zulassen, allerdings scheidet das wohl aus da z.b. www.google.de nicht nur eine IP hat...

Also ich sehe da das Problem nicht:
;; ANSWER SECTION:
google.de.		1785	IN	A	209.85.229.104
google.de.		1785	IN	A	216.239.59.104
google.de.		1785	IN	A	74.125.77.104
Damit könnte ich jetzt in meinem Router eine Adress List anlegen und in der Firewall ausschließen.

Ich könnte bei meinem Router sogar über Layer 7 Filter richtig tief graben, ohne Proxy. face-smile

Da es hier um den Internet-Einsatz nur für bestimmte Zwecke geht macht es sogar evtl. mehr Sinn im Whitelist-Modus zu arbeiten.
bstefan82
bstefan82 13.02.2010 um 03:09:02 Uhr
Goto Top
Klug###er :p

Wenn man richtig langeweile hat kann man das natürlich machen, ansonsten hilft nen Proxy *hust*

Gute Nacht =)
regedit19
regedit19 13.02.2010 um 11:36:52 Uhr
Goto Top
Hallo,

Ist natürlich eine sehr aufwendige Methode, aber funktioniert auch:

Die Hosts Datei ändern, und die Einzelnen Seiten eintragen:

Datei: C:\Windows\System32\drivers\etc\hosts
Die Datei "hosts" mit dem Eeitor ausführen:

INFO:>Wenn sich die Datei NICHT speichern lässt, dann
1.) Entweder als Administrator einloggen, und dies wiederholen, oder
2.) Den Editor als Administrator ausführen.


Einträge bei WIN XP, Vista ggf. abweichend.

Den Eintrag wie folgt löschen>>>

INFO: Das was darüber steht bitte NICHT entfernen!
erst ab der Stelle:


löschen-----------------------------------
127.0.0.1 localhost
::1 localhost
löschen--------------------------------------
und stattdessen:

127.0.0.1 www.ZU sperrende Seite.de.
127.0.0.1 www.ZU sperrende Seite.com
127.0.0.1 www.ZU sperrende Seite.ch


speichern, und sollte funktionieren.

Zum Schluss die Datei noch verstecken, und Schreibschutz aktivieren.


Der Nachtei ist:
Es müssen alle Webseiten einzeln eingetragen werden.

mfg regedit19
CresCent
CresCent 13.02.2010 um 11:55:28 Uhr
Goto Top
hmm das "einfachste" scheint zu sein einen isa server aufzusetzen und diesen entsprechend einzurichten. da ich dann ja jeden einzelnen user (gruppen) den inet zugriff zuordnen kann oder auch nicht..

da es sich um ein "allgemeines" konto handelt wäre hier das einschränken mittels userkontenkontrolle wohl am besten (user xy darf ins inet yz darf nur bestimmte seiten und ab darf gar nichts ... ;) )

vielen dank für euere hilfe ^^

ich werd mal nen isa bei uns im haus beantragen und gucken ob ich einen bekomm ;)

danke ich seh dieses thema als gelöst an

grüße
datasearch
datasearch 13.02.2010 um 12:27:03 Uhr
Goto Top
Und sollte das mit dem ISA nicht klappen, installiere SQUID (gibt es auch für Windows). Hier kannst du genau das selbe machen, nur eben ohne grafische Oberfläche. Squid lässt sich auch so konfigurieren, dass die Benutzeranmeldung über ein besetehendes AD oder sogar Kerberos oder NTLM möglich ist.

Und das ganze kostet nichts außer der Zeit die du brauchst um die Konfigurationsdatei zu erforschen.
CresCent
CresCent 13.02.2010 um 14:34:46 Uhr
Goto Top
Zitat von @datasearch:
Und sollte das mit dem ISA nicht klappen, installiere SQUID (gibt es auch für Windows). Hier kannst du genau das selbe
machen, nur eben ohne grafische Oberfläche. Squid lässt sich auch so konfigurieren, dass die Benutzeranmeldung über
ein besetehendes AD oder sogar Kerberos oder NTLM möglich ist.

Und das ganze kostet nichts außer der Zeit die du brauchst um die Konfigurationsdatei zu erforschen.

achso ok ;) vielen dank