Re: Webserver für bestimmte Benutzer sperren

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sun, 15 Sep 2002 13:59:34 +0200 (CEST)

Patrick Hess <patrick_hess(at)t-online.de> wrote:
> ich möchte gerne in unserem Netzwerk einige externe Webserver
> sperren, aber nur für bestimmte Benutzer. So sollen zum Beispiel
> nur die Benutzer user1 und user2 auf www.foo.bar zugreifen dürfen.
> Den Benutzern user3 und user4 dagegen soll der Zugriff verweigert
> werden. Das gleiche Spielchen auch für bestimmte externe
> Mail-Server.
>
> Auf dem Gateway läuft FreeBSD 4.5-STABLE, als Firewall wird IPFW
> eingesetzt. Ich habe bis jetzt noch keinen Hinweis gefunden, wie
> sich mein Vorhaben mit der IPFW realisieren ließe. Brauche ich
> dafür eventuell noch zusätzliche Proxy-Software?

Da der IPFW nichts von den Benutzern auf den Clients weiß,
geht das nicht so direkt. In einem IP-Paket steht ja nor-
malerweise nicht drin, von welchem Benutzer das kommt. Du
mußt also ein paar Ebenen höher -- auf TCP/IP-Ebene kannst
Du das nicht realisieren.

Was HTTP-Zugriff angeht, würde ich auf dem Gateway-Rechner
einen Zwangsproxy installieren (z.B. Squid) und dann Proxy-
Authentication verwenden, d.h. die Benutzer müssen sich mit
einem Paßwort am Proxy anmelden. Der kann dann mit Hilfe
von ACLs entscheiden, welche Benutzer wohin surfen dürfen.

Was E-Mail betrifft: Du solltest Port 25 generell für alle
internen Rechner sperren. Nur das Gateway selbst sollte
auf Port 25 rein und raus dürfen. Dann müssen alle Clients
das Gateway als Mailserver/Mailhub verwenden, und dort hast
Du dann auch wieder die volle Kontrolle darüber, wer was
darf.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 15 Sep 2002 - 13:59:39 CEST

search this site