Re: Webserver für bestimmte Benutzer sperren

From: Patric Mrawek <patric(at)argv.de>
Date: Sun, 15 Sep 2002 14:11:18 +0200



Patrick Hess wrote:



> ich möchte gerne in unserem Netzwerk einige externe Webserver


> sperren, aber nur für bestimmte Benutzer. So sollen zum Beispiel


> nur die Benutzer user1 und user2 auf www.foo.bar zugreifen dürfen.


> Den Benutzern user3 und user4 dagegen soll der Zugriff verweigert


> werden. Das gleiche Spielchen auch für bestimmte externe


> Mail-Server.


> 


> Auf dem Gateway läuft FreeBSD 4.5-STABLE, als Firewall wird IPFW


> eingesetzt. Ich habe bis jetzt noch keinen Hinweis gefunden, wie


> sich mein Vorhaben mit der IPFW realisieren ließe. Brauche ich


> dafür eventuell noch zusätzliche Proxy-Software?



Mit ipfw kannst Du nur die IP des Webservers komplett sperren. Da man


aber mit modernen Webservern "Namebased Virtual Hosting" machen kann


wuerdest Du auf diese Weise auch alle anderen Webserver sperren, die


evtl. auf dieser IP ihren Dienst verrichten.



Das was Du vorhast geht nur mit einen Application-Level Proxy und mit


entsprechender Authentifizierung. Wenn ich mich recht erinnere kann


Squid sowas. D.h. Deine Benutzer muessen sich zuerst am Proxy anmelden


und werden dann "raus gelassen". Du muesstet in diesem Fall aber


dafuer sorgen, dass die Benutzer den Proxy nicht umgehen koennen. Wenn


Du also den Squid auf dem Standard Port (3128 glaube ich) laufen


laesst und Deine Benutzer in Ihrem Browser den Proxy einfach austragen


koennen, nuetzt Dir der Proxy wenig. Du muesstest also dafuer sorgen,


dass der Proxy _immer_ benutzt werden muss. Man kann das erreichen


indem man der Workstation keinen default-Gateway aus dem lokalen Netz


hinaus gibt (natuerlich darf ein Benutzer dann keine Admin-Rechte auf


der Workstation haben).



SMTP/POP/IMAP nach aussen kannst Du nicht sinnvoll verhindern, wenn Du


die Benutzer nicht beim Arbeiten behindern willst. Das Blocken von


irgendwelchen Ports wird Dich nicht wirklich lange gluecklich machen,


da ein halbwegs begabter Mitarbeiter sehr schnell einen HTTP-Tunnel


oder Aehnliches bauen wird und darueber ICQ/IRC oder sonstwas macht.



Von daher wuerde ich die Loesung "ohne default-Gateway" auf den


Workstations favorisieren. Mail wird dann ueber den netzinternen


Mailserver abgewickelt.



Patric



-- 
The problem with troubleshooting is that trouble shoots back.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 15 Sep 2002 - 14:11:21 CEST













search this site